Kerberos est utilisé pour authentifier les utilisateurs sur un réseau non sécurisé. Pour ce faire, le serveur et le client doivent partager une clé commune utilisée pour chiffrer et déchiffrer les mots de passe . La distribution des clés est réalisée par un Master Key Distribution Center (KDC ) . La redondance est intégrée dans le système en mettant en place un ou plusieurs KDC esclaves . Configuration du maître Avant de commencer la mise en place Kerberos sur votre système, vous devez connaître le nom de votre Kerberos, le nom d'hôte du maître et de l'esclave centres de distribution de clés ( KDC ) et comment vous allez mapper les noms d'hôte dans le domaine Kerberos . Vous devrez déterminer les ports que les KDC et les accès aux services de base de données ( kadmin ) vont utiliser. Vous devrez également savoir à quelle fréquence les KDC maître et esclave se remplir la base de données . Vous allez utiliser les informations ci-dessus pour configurer le KDC maître . Les fichiers de configuration KDC maître se trouvent au "/etc/krb5.conf " et "/usr/local/var/krb5kdc/kdc.conf " et peuvent être édités dans n'importe quel éditeur de texte. Le fichier " krb5.conf " contient des informations sur où trouver les KDC et les serveurs d'administration , ainsi que le nom des informations de mappage d'hôte . Le fichier " kdc.conf " contient les informations par défaut utilisée lors de la délivrance des tickets Kerberos . Ouvrez le dossier "/etc/krb5.conf " et de modifier les «login », « royaumes » et « valeurs domain_realm " afin qu'ils soient corrects pour votre système. Changer le "/usr/local/var/krb5kdc/kdc.conf " afin qu'il reflète les informations correctes pour votre serveur KDC. L'étape suivante consiste à créer la base de données . Ouvrez un terminal et tapez la commande " kdb5_util . " Vous serez invité à fournir une clé maîtresse . Ce doit être une chaîne de lettres, chiffres et caractères spéciaux similaires à un mot de passe . Cette clé sera stockée dans un fichier de stockage sur le disque dur de KDC. Si vous préférez être invité à entrer la clé chaque fois que Kerberos démarre, vous pouvez choisir de ne pas créer le fichier de dissimulation . Enfin , vous allez créer la liste de contrôle d' accès (ACL) et d'ajouter au moins un administrateur à elle. L'ACL est un fichier texte créé de l'utilisateur qui est appelé "/usr/local/var/krb5kdc/kadm5.acl . " Ce fichier doit avoir l'administrateur énumérés dans le formulaire : permissions Kerberos_principal [ target_principal ] [ restrictions ] Une fois la liste ACL est créé , exécutez la commande " kadmin.local " et ajouter chaque directeur de la base de données . Démarrez les démons Kerberos avec la commande "/usr/local/sbin/krb5kdc ; . /Usr /local /sbin /kadmin " Création du fichier keytab fichier de clés est utilisée pour déchiffrer les tickets Kerberos et déterminer si l'utilisateur doit avoir accès à la base de données . Pour créer ce fichier , tapez la commande " kadmin.local " à nouveau. Cela vous donnera une invite lorsque vous tapez la commande : " ktadd -k /usr/local/var/krb5kdc/kadm5.keytab kadmin /admin kadmin /changepw » pour créer le fichier de clés . Remplacer la section "/usr/local/var/krb5kdc/kadm5.keytab " avec l'emplacement de clés qui a été spécifié dans le fichier «/usr/local/var/krb5kdc/kdc.conf " . Tapez " quit" pour quitter l'utilitaire " kadmin " . Configuration de l' esclave KDC Pour créer les KDC esclaves , vous allez délivrer le " kadmin . commande locale " une troisième fois . À l'invite , tapez la commande " addprinc - randkey hôte /example.com" pour le maître et chaque esclave. Utilisez le nom d'hôte de chaque KDC à la place de " example.conf . " Cela va créer des clés d'hôte pour chacun des KDC . Ensuite, extraire les clés sur chacun des KDC esclaves en lançant l'utilitaire " kadmin " sur chacun des esclaves et de la commande "host ktadd /MasterKDC.com . " Remplacer " MasterKDC.com " avec le nom d'hôte du KDC maître . Pour la base de données de se propager à partir du KDC maître aux KDC esclaves , vous aurez à créer un fichier nommé "/usr /local /var /krb5kdc/kpropd.acl . " Ce fichier doit contenir les principes pour chacun des KDC dans le formulaire " host /example.com. " . Chaque directeur doit être placé sur sa propre ligne Ensuite, éditez le fichier " /etc /inetd.conf " sur chacun des KDC et ajouter les lignes suivantes: krb5_prop stream tcp nowait root /usr /local /sbin /kpropd kpropdeklogin stream tcp nowait root /usr /local /sbin /klogind klogind -k- c -e Editez le fichier " /etc /services " sur chacun des KDC et ajouter les lignes suivantes : Kerberos 88/UDP KDC # authentification Kerberos ( udp ) Kerberos KDC 88/TCP # authentification Kerberos ( tcp) krb5_prop 754/tcp # Kerberos esclave propagationkerberos - adm 749/tcp # Kerberos 5 admin /changepw (tcp ) kerberos - adm 749/udp # Kerberos 5 admin /changepw ( udp ) eklogin 2105/tcp # Kerberos crypté rlogin multiplication de la base de données multiplication de la base de données est effectuée à partir du KDC maître . Exécutez la commande "/usr/local/sbin/kdb5_util dump /usr/local/var/krb5kdc/slave_datatrans " pour créer un dump de la base de données . Ensuite, exécutez la commande "/usr /local /sbin /kprop -f /usr/local/var/krb5kdc/slave_datatrans esclave 1.example.com " propager manuellement la base de données sur chacun des esclaves . Ces mesures devront être effectuées sur une base régulière. La meilleure façon de le faire est de créer en tant que script et exécutez le script comme une tâche cron . Le script devrait ressembler à : # /bin /sh kdclist = " esclave - esclave 1.example.com - 2.example.com " /usr/local/sbin/kdb5_util " vidage => /usr/local/var/krb5kdc/slave_datatrans " pour KDC dans kdclistdo $ /usr /local /sbin /kprop -f /usr/local/var/krb5kdc/slave_datatrans $ kdcdone Bien sûr , changer les noms d'hôte afin de refléter les valeurs de votre système. créer des fichiers Stash sur les esclaves la dernière étape de la mise en place Kerberos est de créer des fichiers cachette sur les KDC esclaves . Sur chacun des KDC esclaves exécutez la commande " kdb5_util planque» et fournir la clé principale lorsque vous êtes invité . Une fois que c'est terminé, vous pouvez lancer le démon " krb5kdc " sur chaque esclave avec la commande "/usr/local/sbin/krb5kdc /. "
|