Πριν ξεκινήσετε τη δημιουργία Kerberos στο σύστημά σας , θα πρέπει να γνωρίζετε το όνομα του Kerberos σας , το όνομα του μηχανήματος από τα βασικά κέντρα διανομής master και slave ( KDC ) και πώς θα έχετε την ευκαιρία να χάρτης hostnames σας στη σφαίρα Kerberos . Θα πρέπει να καθορίσουν τις θύρες που οι KDCs και η πρόσβαση σε βάσεις δεδομένων ( kadmin ) υπηρεσίες θα χρησιμοποιήσουν . Θα πρέπει επίσης να γνωρίζουμε πόσο συχνά τα master και slave KDCs θα συμπληρώσουν τη βάση δεδομένων .
Θα χρησιμοποιήσετε τις παραπάνω πληροφορίες για να ρυθμίσετε τον πλοίαρχο KDC . Τα κύρια KDC αρχεία ρυθμίσεων θα βρείτε στο " /etc/krb5.conf " και " /usr/local/var/krb5kdc/kdc.conf " και μπορούν να επεξεργαστούν σε οποιοδήποτε πρόγραμμα επεξεργασίας κειμένου . Το αρχείο " krb5.conf " περιέχει πληροφορίες σχετικά με το πού να εντοπίσετε τα KDCs και διακομιστές διαχειριστή , καθώς και τις πληροφορίες χαρτογράφησης όνομα του κεντρικού υπολογιστή . Το αρχείο " kdc.conf " περιέχει τις προεπιλεγμένες πληροφορίες που χρησιμοποιείται κατά την έκδοση των εισιτηρίων Kerberos . Ανοίξτε το " /etc/krb5.conf " και να επεξεργαστείτε το " login ", " σφαίρες " και " domain_realm " τιμές έτσι ώστε να είναι σωστές για το σύστημά σας . Αλλάξτε το " /usr/local/var/krb5kdc/kdc.conf " , έτσι ώστε να αντανακλά τις σωστές πληροφορίες για το διακομιστή σας KDC .
Το επόμενο βήμα είναι να δημιουργήσετε τη βάση δεδομένων . Ανοίξτε ένα τερματικό και πληκτρολογήστε την εντολή " kdb5_util . " Θα σας ζητηθεί να δώσετε ένα κύριο κλειδί . Αυτό θα πρέπει να είναι μια σειρά από γράμματα , αριθμούς και ειδικούς χαρακτήρες που είναι παρόμοια με έναν κωδικό πρόσβασης . Αυτό το κλειδί θα πρέπει να αποθηκεύονται σε ένα αρχείο αποθήκευσης στο σκληρό δίσκο του KDC του . Εάν προτιμάτε να σας ζητηθεί για το κλειδί κάθε φορά που ξεκινά Kerberos , μπορείτε να επιλέξετε να μην δημιουργήσετε το αρχείο αποθήκευσης .
Τέλος , θα δημιουργήσετε τη λίστα ελέγχου πρόσβασης ( ACL ) και να προσθέσετε τουλάχιστον ένα διαχειριστή σε αυτήν . Η ACL είναι ένας χρήστης που δημιουργείται αρχείο κειμένου που ονομάζεται " /usr/local/var/krb5kdc/kadm5.acl . " Αυτό το αρχείο θα πρέπει να έχει το διαχειριστή που περιλαμβάνονται στο έντυπο : δικαιώματα Kerberos_principal [ target_principal ] [ περιορισμοί ] Αφού δημιουργηθεί η λίστα ACL , το ζήτημα την εντολή " kadmin.local » και προσθέτουμε κάθε κύρια στη βάση δεδομένων . Ξεκινήσετε τους δαίμονες Kerberos με την εντολή " /usr/local/sbin/krb5kdc ? . /Usr /local /sbin /kadmin "
εικόνων Δημιουργία του αρχείου Keytab
Η
Η keytab αρχείο χρησιμοποιείται για να αποκρυπτογραφήσει τα εισιτήρια Kerberos και να εξακριβώσει αν ο χρήστης πρέπει να έχει πρόσβαση στη βάση δεδομένων . Για να δημιουργήσετε αυτό το αρχείο , πληκτρολογήστε την εντολή " kadmin.local " και πάλι . Αυτό θα σας δώσει μια γραμμή όπου θα πληκτρολογήσετε την εντολή : « ktadd - k /usr/local/var/krb5kdc/kadm5.keytab kadmin /admin kadmin /changepw " για να δημιουργήσετε το αρχείο keytab . Αντικαταστήστε το τμήμα " /usr/local/var/krb5kdc/kadm5.keytab " με την keytab θέση που καθορίζεται στο αρχείο " /usr/local/var/krb5kdc/kdc.conf " . Πληκτρολογήστε "κόψει " για να βγείτε από το " kadmin " χρησιμότητα .
Η Διαμόρφωση του Slave KDCs
Η
Για να δημιουργήσετε τις KDCs σκλάβος , θα εκδώσει τη « kadmin . τοπικές " εντολή για τρίτη φορά . Στη γραμμή εντολών, δώστε την εντολή " addprinc - randkey υποδοχής /example.com " για το Master και κάθε δούλος . Χρησιμοποιήστε το όνομα του κεντρικού υπολογιστή του κάθε KDC στη θέση του " example.conf . " Αυτό θα δημιουργήσει τα κλειδιά υποδοχής για κάθε μία από τις KDCs . Στη συνέχεια , εξαγάγετε τα κλειδιά για κάθε μία από τις KDCs σκλάβων από την έναρξη της " kadmin " χρησιμότητα για κάθε ένα από τους σκλάβους και η εντολή " ktadd υποδοχής /MasterKDC.com . " Αντικαταστήστε το " MasterKDC.com " με το όνομα του κεντρικού υπολογιστή του πλοιάρχου KDC .
Για τη βάση δεδομένων για να αναπαραχθεί από τον πλοίαρχο KDC στις KDCs σκλάβος θα πρέπει να δημιουργήσετε ένα αρχείο που ονομάζεται " /usr /local /var /krb5kdc/kpropd.acl . " Το αρχείο αυτό πρέπει να περιέχει τις αρχές για κάθε μία από τις KDCs με τη μορφή "host /example.com . " Κάθε κύριος υπόχρεος θα πρέπει να διατίθενται στην δική του γραμμή
συνέχεια, επεξεργαστείτε το αρχείο " /etc /inetd.conf " για καθένα από τα KDCs και προσθέστε τις ακόλουθες γραμμές : . Krb5_prop ρεύμα tcp nowait root /usr /local /sbin /kpropd kpropdeklogin tcp ρεύμα nowait root /usr /local /sbin /klogind klogind - k - c- e
Επεξεργαστείτε το αρχείο " /etc /services " για καθένα από τα KDCs και προσθέστε τις ακόλουθες γραμμές : kerberos 88/udp kdc ταυτότητας Kerberos # ( UDP ) Kerberos 88/tcp kdc ταυτότητας Kerberos # ( tcp ) krb5_prop 754/tcp # Kerberos σκλάβος propagationkerberos - adm 749/tcp # Kerberos 5 admin /changepw ( tcp ) kerberos - adm 749/udp # Kerberos 5 admin /changepw ( UDP ) eklogin 2105/tcp # Kerberos κρυπτογραφημένο rlogin εικόνων
πολλαπλασιαστικό της βάσης δεδομένων
Η
πολλαπλασιαστικό η βάση δεδομένων γίνεται από το Master KDC . Την έκδοση των εντολών " /usr/local/sbin/kdb5_util dump /usr/local/var/krb5kdc/slave_datatrans " για να δημιουργήσετε μια χωματερή της βάσης δεδομένων . Στη συνέχεια , δώστε την εντολή " /usr /local /sbin /kprop -f /usr/local/var/krb5kdc/slave_datatrans Slave - 1.example.com " για να διαδώσει το χέρι τη βάση δεδομένων σε κάθε ένα από τους σκλάβους .
Αυτά τα βήματα θα πρέπει να ολοκληρωθούν σε τακτική βάση . Ο ευκολότερος τρόπος να γίνει αυτό είναι να δημιουργήσετε το σενάριο και να εκτελέσετε τη δέσμη ενεργειών ως περιοδική εργασία . Το σενάριο πρέπει να μοιάζει με : # /bin /sh
kdclist = " σκλάβος - 1.example.com σκλάβος - 2.example.com "
/usr/local/sbin/kdb5_util " χωματερή = > /usr/local/var/krb5kdc/slave_datatrans "
για kdc σε $ kdclistdo /usr /local /sbin /kprop -f /usr/local/var/krb5kdc/slave_datatrans $ kdcdone
φυσικά , να αλλάξετε τα ονόματα υποδοχής να αντανακλούν τις αξίες για το σύστημά σας .
εικόνων Δημιουργία Stash φάκελοι σχετικά με τις Σκλάβοι
Η
το τελικό βήμα για τη δημιουργία Kerberos είναι η δημιουργία stash αρχεία σχετικά με τις KDCs σκλάβων . Σε κάθε μία από τις KDCs σκλάβων εκδώσει την εντολή " kdb5_util stash » και παρέχουν το κύριο κλειδί , όταν σας ζητηθεί . Από τη στιγμή που έχει ολοκληρωθεί , μπορείτε να ξεκινήσετε το " krb5kdc " δαίμονα για κάθε σκλάβο με την εντολή " /usr/local/sbin/krb5kdc /. "
Η
εικόνων
Πνευματικά δικαιώματα © Γνώση Υπολογιστών Όλα τα δικαιώματα κατοχυρωμένα