Strategy ONE

Anleitung zur Installation des Kerberos-Authentifizierungsdiensts

  1. Installieren Sie den Kerberos-KDC-Server und -Client.

    1. Laden Sie das krb5-Serverpaket herunter und installieren Sie es.

      Kopieren
      rpm -ivh krb5-server-1.10.3-10.el6_4.6.x86_64.rpm

      Stellen Sie sicher, dass die folgenden rpm-Pakete installiert sind, bevor Sie KDC konfigurieren:

      Kopieren
      $ rpm -qa | grep -i krb5
      pam_krb5-2.3.11-9.el6.x86_64
      krb5-server-1.10.3-10.el6_4.6.x86_64
      krb5-workstation-1.10.3-10.el6_4.6.x86_64
      krb5-libs-1.10.3-10.el6_4.6.x86_64

    2. Über yum installieren.

      Auf dem KDC-Server:

      Kopieren
      yum install krb5-server krb5-libs krb5-auth-dialog

      Auf dem Kerberos-Client:

      Kopieren
      yum install krb5-workstation krb5-libs krb5-auth-dialog

  2. Ändern Sie die /etc/krb5.conf Datei.

    Ändern /etc/krb5.conf wie der folgende Code mit den entsprechenden REALM- und DOMAIN_REALM-Zuordnungen aussieht. krb5.conf finden Sie in /etc standardmäßig aktiviert.

    Kopieren 
    [logging]
     default = FILE:/var/log/krb5libs.log
     kdc = FILE:/var/log/krb5kdc.log
     admin_server = FILE:/var/log/kadmind.log

    [libdefaults]
     default_realm = MYREALM.COM
     dns_lookup_realm = false
     dns_lookup_kdc = false
     ticket_lifetime = 24h
     renew_lifetime = 7d
     forwardable = true

    [realms]
     MYREALM.COM = {
      kdc = elserver1.example.com
      admin_server = elserver1.example.com
     }

    [domain_realm]
     .myrealm.com =CTCCDH1.COM
    myrealm.com =CTCCDH1.COM

  3. Ändern Sie die KDC.conf Datei.

    Melden Sie sich beim KDC-Server an und ändern Sie /var/kerberos/krb5kdc/kdc.conf wie folgt:

    Kopieren 
    [kdcdefaults]
     kdc_ports = 88
     kdc_tcp_ports = 88

    [realms]
     MYREALM.COM = {
      #master_key_type = aes256-cts
      acl_file = /var/kerberos/krb5kdc/kadm5.acl
      dict_file = /usr/share/dict/words
      admin_keytab = /var/kerberos/krb5kdc/kadm5.keytab
      supported_enctypes = aes256-cts:normal aes128-cts:normal des3-hmac-sha1:normal arcfour-hmac:normal des-hmac-sha1:normal des-cbc-md5:normal des-cbc-crc:normal
     }

  4. Weisen Sie Administratorrechte zu.

    Den Benutzern können unter Verwendung der Datei Administratorrechte für die Datenbank erteilt werden /var/kerberos/krb5kdc/kadm5.acl.

    Kopieren 
    */admin@MYREALM.COM     *

    Im obigen Beispiel verfügt jeder Prinzipal im MYREALM mit einer Administratorinstanz über alle Administratorrechte.

  5. Erstellen Sie einen Auftraggeber.

    Erstellen Sie den Prinzipal mit dem -Befehl addprinc. Erstellen Sie beispielsweise einen Principal mit dem Benutzernamen „root“.

    Kopieren 
    $ kadmin.local -q "addprinc root/admin"
    Authenticating as principal root/admin@MYREALM.COM with password.
    WARNING: no policy specified for root/admin@MYREALM.COM; defaulting to no policy
    Enter password for principal "root/admin@MYREALM.COM":
    Re-enter password for principal "root/admin@MYREALM.COM":
    Principal "root/admin@MYREALM.COM" created.

  6. Erstellen Sie die Datenbank.

    Mit dem folgenden Befehl wird die Prinzipaldatenbank in erstellt /var/kerberos/krb5kdc.

    Kopieren 
    kdb5_util create -r $realm -s

    Wenn die Datenbank bereits vorhanden ist, werden alle zugehörigen Dateien in entfernt /var/kerberos/krb5kdc. Standardmäßig lautet der Datenbankname „Principal“. Sie können die hinzufügen -d -Flag, um die Datenbank umzubenennen.

  7. Starten Sie den Kerberos-Dienst.

    KDC starten und kadmin -Daemons wie unten gezeigt.

    Kopieren 
    # service krb5kdc start
    Starting Kerberos 5 KDC:               [  OK  ]

    # service kadmin start
    Starting Kerberos 5 Admin Server:      [  OK  ]