Для установки пакета Kerberos V5 выполните следующие действия:
Во избежание конфликтов имен между командами DCE и Kerberos (т.е. между командами klist, kinit и kdestroy), команды Kerberos устанавливаются в каталогах /usr/krb5/bin и /usr/krb5/sbin. Вы можете добавить эти каталоги в переменную PATH. Если вы этого не сделаете, то вам придется вводить полные пути к командам Kerberos.
Примечания:
- Устанавливать программное обеспечение серверов DCE и Kerberos в одной физической системе не рекомендуется. Если же это необходимо, то вы должны изменить стандартные номера портов Internet по умолчанию либо для клиентов и сервера DCE, либо для клиентов и сервера Kerberos. В обоих случаях такое изменение может повлиять на взаимодействие с уже установленными средствами DCE и Kerberos.
- В Kerberos V5 по умолчанию настроено отклонение запросов на выдачу паспортов, если они поступают от хостов, системное время которых отличается от времени сервера на больший интервал, чем допускается Контроллером домена Kerberos (KDC). По умолчанию отклонение не должно превышать 300 секунд (пяти минут). В Kerberos обязательна синхронизация времени сервера и клиентов в той или иной форме.
Для синхронизации времени рекомендуется применять демон xntpd или timed. Например, вы можете настроить синхронизацию с помощью демона timed следующим образом:
- Настройте сервер KDC в качестве сервера времени, запустив демон timed.
# timed -M- Запустите демон timed на каждом клиенте Kerberos.
# timed -t
Для настройки серверов KDC и kadmin Kerberos запустите команду mkkrb5srv. Для обеспечения взаимодействия пакета Kerberos с существующими средствами защиты выполните команду mkkrb5srv со следующими параметрами:
mkkrb5srv -r область -s сервер -d домен
Пример:
Для настройки пакета Kerberos в области UD3A на сервере sundial в домене austin.ibm.com введите следующую команду:
mkkrb5srv -r UD3A.AUSTIN.IBM.COM -s sundial.austin.ibm.com \ -d austin.ibm.com
Примечание: Запуск kadmind и krb5kdc из каталога /etc/inittab произойдет спустя несколько минут.
Команда выполняет следующую последовательность операций:
Если вы испытываете затруднения, обратитесь к разделам Примеры выполнения и Сообщения об ошибках и действия по исправлению.
По окончании установки обычные пользователи не смогут не заметить, что в системе применяется технология Kerberos. Несмотря на то, что процесс входа в систему остался без изменений, существует побочный эффект, заключающийся в том, что теперь с процессами пользователей будут связаны начальные паспорта (TGT) Kerberos. Для настройки Kerberos в качестве основного средства идентификации пользователей в системах выполните команду mkkrb5clnt со следующими параметрами:
mkkrb5clnt -c KDC -r область -s административный сервер -d домен -A \ -i база_данных -K -T
Пример:
mkkrb5clnt -c sundial.austin.ibm.com -r UD3A.AUSTIN.IBM.COM \ -s sundial.austin.ibm.com -d austin.ibm.com \ -A -i расположение_файлов -K -T
Эта команда выполняет следующие действия:
Создает файл /etc/krb5/krb5.conf. Значения области, административного сервера Kerberos и имени домена будут взяты из командной строки. Кроме того, команда обновляет пути к файлам протокола default_keytab_name, kdc и kadmin.
Так как задан флаг -i, команда настраивает полностью интегрированный вход в систему. Значение расположение_файлов указывает расположение субъектов Kerberos.
Так как задан флаг -K, команда настраивает Kerberos в качестве схемы идентификации по умолчанию. Это позволяет идентифицировать пользователей с помощью Kerberos в момент их входа в систему.
Флаг -A добавляет в базу данных Kerberos инструкцию о назначении пользователя root администратором Kerberos.
Флаг -T указывает, что следует принять основанный на TGT паспорт администратора сервера.
При установке системы в домене DNS, отличном от домена KDC, необходимо выполнить следующие дополнительные действия:
Например, если вы хотите добавить хост trojan.pok.ibm.com в свою область UD3A, добавьте в файл /etc/krb5/krb5.conf следующую запись:
[domain realm] .pok.ibm.com = UD3A.AUSTIN.IBM.COM
Ниже перечислены ошибки, которые могут произойти при выполнении команды mkkrb5srv:
Ниже перечислены ошибки, которые могут произойти при выполнении команды mkkrb5clnt:
Команда mkkrb5srv создает следующие файлы:
Команда mkkrb5clnt создает следующие файлы:
Ниже приведен пример вывода при выполнении команды mkkrb5srv:
Набор файлов Уровень Состояние Описание ---------------------------------------------------------------------------- Путь: /usr/lib/objrepos bos.security.krb5.server 5.1 ЗАФИКСИРОВАНО Сервер сетевой идентификации (служба конфиденциальности) Путь: /etc/objrepos bos.security.krb5.server 5.1 ЗАФИКСИРОВАНО Сервер сетевой идентификации (служба конфиденциальности) Создается /etc/krb5/krb5.conf Создается /var/krb5/krb5kdc/kadm5.acl Создается /var/krb5/krb5kdc/kdc.conf Инициализируется база данных '/var/krb5/krb5kdc/principal' для области 'UD3A.AUSTIN.IBM.COM' имя главного ключа 'K/M@UD3A.AUSTIN.IBM.COM' Вам будет предложено указать Главный пароль к базе данных. Вы должны ЗАПОМНИТЬ этот пароль. Введите главный ключ к базе данных KDC: Еще раз введите главный ключ к базе данных KDC для контроля: Идентификация субъекта root/admin@UD3A.AUSTIN.IBM.COM с паролем. ПРЕДУПРЕЖДЕНИЕ: стратегия для admin/admin@UD3A.AUSTIN.IBM.COM не задана; по умолчанию принимается отсутствие стратегии Введите пароль для субъекта "admin/admin@UD3A.AUSTIN.IBM.COM": Еще раз введите пароль для субъекта "admin/admin@UD3A.AUSTIN.IBM.COM": Субъект "admin/admin@UD3A.AUSTIN.IBM.COM" создан. Идентификация субъекта root/admin@UD3A.AUSTIN.IBM.COM с паролем.
Ниже приведен пример вывода при выполнении команды mkkrb5clnt:
Создается /etc/krb5/krb5.conf Пароль admin/admin@UD3A.AUSTIN.IBM.COM: Настройка полностью интегрированного входа в систему Идентификация субъекта admin/admin с существующим одноразовым разрешением. ПРЕДУПРЕЖДЕНИЕ: стратегия для host/diana@UD3A.AUSTIN.IBM.COM не задана; по умолчанию принимается отсутствие стратегии Субъект "host/diana@UD3A.AUSTIN.IBM.COM" создан. Одноразовое разрешение администратора НЕ УНИЧТОЖЕНО. Идентификация субъекта admin/admin с существующим одноразовым разрешением. Одноразовое разрешение администратора НЕ УНИЧТОЖЕНО. Идентификация субъекта admin/admin с существующим одноразовым разрешением. Субъект "kadmin/admin@UD3A.AUSTIN.IBM.COM" изменен. Одноразовое разрешение администратора НЕ УНИЧТОЖЕНО. Настройка Kerberos в качестве схемы идентификации по умолчанию Назначение пользователя root администратором Kerberos Идентификация субъекта admin/admin с существующим одноразовым разрешением. ПРЕДУПРЕЖДЕНИЕ: стратегия для root/diana@UD3A.AUSTIN.IBM.COM не задана; по умолчанию принимается отсутствие стратегии Введите пароль для субъекта "root/diana": Еще раз введите пароль для субъекта "root/diana": Субъект "root/diana@UD3A.AUSTIN.IBM.COM" создан. Одноразовое разрешение администратора НЕ УНИЧТОЖЕНО. Очистка одноразовых разрешений администратора и завершение работы.