Руководство по установке

Приложение D. Установка Kerberos версии 5

Для установки пакета Kerberos V5 выполните следующие действия:

• Если вам нужно программное обеспечение клиента, установите набор файлов bos.security.krb5.client
• Если вам нужно программное обеспечение сервера, установите набор файлов bos.security.krb5.server
• Если вам нужен полный пакет, установите bos.security.krb5

Во избежание конфликтов имен между командами DCE и Kerberos (т.е. между командами klist, kinit и kdestroy), команды Kerberos устанавливаются в каталогах /usr/krb5/bin и /usr/krb5/sbin. Вы можете добавить эти каталоги в переменную PATH. Если вы этого не сделаете, то вам придется вводить полные пути к командам Kerberos.

Настройка серверов KDC и kadmin Kerberos V5

Примечания:

1. Устанавливать программное обеспечение серверов DCE и Kerberos в одной физической системе не рекомендуется. Если же это необходимо, то вы должны изменить стандартные номера портов Internet по умолчанию либо для клиентов и сервера DCE, либо для клиентов и сервера Kerberos. В обоих случаях такое изменение может повлиять на взаимодействие с уже установленными средствами DCE и Kerberos.
2. В Kerberos V5 по умолчанию настроено отклонение запросов на выдачу паспортов, если они поступают от хостов, системное время которых отличается от времени сервера на больший интервал, чем допускается Контроллером домена Kerberos (KDC). По умолчанию отклонение не должно превышать 300 секунд (пяти минут). В Kerberos обязательна синхронизация времени сервера и клиентов в той или иной форме.

   Для синхронизации времени рекомендуется применять демон xntpd или timed. Например, вы можете настроить синхронизацию с помощью демона timed следующим образом:

   1. Настройте сервер KDC в качестве сервера времени, запустив демон timed.

      # timed -M
      

   2. Запустите демон timed на каждом клиенте Kerberos.

      # timed -t
      

Для настройки серверов KDC и kadmin Kerberos запустите команду mkkrb5srv. Для обеспечения взаимодействия пакета Kerberos с существующими средствами защиты выполните команду mkkrb5srv со следующими параметрами:

mkkrb5srv -r область -s
сервер -d
домен

Пример:

Для настройки пакета Kerberos в области UD3A на сервере sundial в домене austin.ibm.com введите следующую команду:

  mkkrb5srv -r UD3A.AUSTIN.IBM.COM -s sundial.austin.ibm.com \
    -d austin.ibm.com

Примечание: Запуск kadmind и krb5kdc из каталога /etc/inittab произойдет спустя несколько минут.

Команда выполняет следующую последовательность операций:

1. Создает файл /etc/krb5/krb5.conf. Значения области, административного сервера Kerberos и имени домена будут взяты из командной строки. Кроме того, команда обновляет пути к файлам протокола default_keytab_name, kdc и kadmin.
2. Создает файл /var/krb5/krb5kdc/kdc.conf. Эта команда задает значение для kdc_ports, а также пути к имени базы данных, admin_keytab, acl_file, dict_file, key_stash_file и значения для kadmin_port, max_life, max_renewable_life, master_key_type и supported_enctypes.
3. Создает файл /var/krb5/krb5kdc/kadm5.acl. Команда настраивает управлением доступом для субъектов администратора, пользователя root и хоста.
4. Создает базу данных и один субъект администратора. Вам будет предложено задать главный ключ Kerberos, а также задать имя и пароль для идентификации субъекта администратора Kerberos. Важно, чтобы главный ключ и имя и пароль субъекта администратора хранились в надежном месте на случай восстановления после сбоя.

Если вы испытываете затруднения, обратитесь к разделам Примеры выполнения и Сообщения об ошибках и действия по исправлению.

Настройка клиентов Kerberos V5

По окончании установки обычные пользователи не смогут не заметить, что в системе применяется технология Kerberos. Несмотря на то, что процесс входа в систему остался без изменений, существует побочный эффект, заключающийся в том, что теперь с процессами пользователей будут связаны начальные паспорта (TGT) Kerberos. Для настройки Kerberos в качестве основного средства идентификации пользователей в системах выполните команду mkkrb5clnt со следующими параметрами:

mkkrb5clnt -c KDC -r
область -s
административный сервер -d
домен -A \
            -i база_данных -K -T

Пример:

mkkrb5clnt -c sundial.austin.ibm.com -r UD3A.AUSTIN.IBM.COM \
           -s sundial.austin.ibm.com -d austin.ibm.com \
	   -A -i расположение_файлов -K -T

Эта команда выполняет следующие действия:

Создает файл /etc/krb5/krb5.conf. Значения области, административного сервера Kerberos и имени домена будут взяты из командной строки. Кроме того, команда обновляет пути к файлам протокола default_keytab_name, kdc и kadmin.

Так как задан флаг -i, команда настраивает полностью интегрированный вход в систему. Значение расположение_файлов указывает расположение субъектов Kerberos.

Так как задан флаг -K, команда настраивает Kerberos в качестве схемы идентификации по умолчанию. Это позволяет идентифицировать пользователей с помощью Kerberos в момент их входа в систему.

Флаг -A добавляет в базу данных Kerberos инструкцию о назначении пользователя root администратором Kerberos.

Флаг -T указывает, что следует принять основанный на TGT паспорт администратора сервера.

При установке системы в домене DNS, отличном от домена KDC, необходимо выполнить следующие дополнительные действия:

1. Добавьте новую запись после [domain realm] в файле /etc/krb5/krb5.conf.
2. Отобразите другой домен в свою область.

Например, если вы хотите добавить хост trojan.pok.ibm.com в свою область UD3A, добавьте в файл /etc/krb5/krb5.conf следующую запись:

[domain realm]
     .pok.ibm.com = UD3A.AUSTIN.IBM.COM

Сообщения об ошибках и действия по исправлению

Ниже перечислены ошибки, которые могут произойти при выполнении команды mkkrb5srv:

• Если файл krb5.conf, kdc.conf или kadm5.acl уже существует, то команда оставит значения без изменения. Будет выдано предупреждающее сообщение о том, что файл уже существует. Любые значения конфигурации можно изменить, отредактировав файл krb5.conf, kdc.conf или kadm5.acl.
• Если вы ошибетесь при вводе и база данных создана не будет, удалите созданные файлы конфигурации и выполните команду повторно.
• Если база данных несовместима со значениями конфигурации, удалите базу данных в /var/krb5/krb5kdc/* и выполните команду повторно.
• Убедитесь, что в вашей системе запущены демоны Make sure kadmind и krb5kdc. Для этого воспользуйтесь командой ps. Если запустить демоны не удается, просмотрите файл протокола.

Ниже перечислены ошибки, которые могут произойти при выполнении команды mkkrb5clnt:

• Неправильные значения в файле krb5.conf можно исправить, отредактировав файл /etc/krb5/krb5.conf.
• Неправильные значения для флага -i можно исправить, отредактировав файл /usr/lib/security/methods.cfg.

Создаваемые файлы

Команда mkkrb5srv создает следующие файлы:

• /etc/krb5/krb5.conf
• /var/krb5/krb5kdc/kadm5.acl
• /var/krb5/krb5kdc/kdc.conf

Команда mkkrb5clnt создает следующие файлы:

• /etc/krb5/krb5.conf

Примеры выполнения

Ниже приведен пример вывода при выполнении команды mkkrb5srv:

Набор файлов                Уровень  Состояние  Описание
----------------------------------------------------------------------------
Путь: /usr/lib/objrepos
  bos.security.krb5.server   5.1  ЗАФИКСИРОВАНО  Сервер сетевой идентификации
                                                 (служба конфиденциальности)
 
Путь: /etc/objrepos
  bos.security.krb5.server   5.1  ЗАФИКСИРОВАНО  Сервер сетевой идентификации
                                                 (служба конфиденциальности)
Создается /etc/krb5/krb5.conf
Создается /var/krb5/krb5kdc/kadm5.acl
Создается /var/krb5/krb5kdc/kdc.conf
Инициализируется база данных
'/var/krb5/krb5kdc/principal' для области
 'UD3A.AUSTIN.IBM.COM'
имя главного ключа 'K/M@UD3A.AUSTIN.IBM.COM'
Вам будет предложено указать Главный пароль к базе данных.
Вы должны ЗАПОМНИТЬ этот пароль.
Введите главный ключ к базе данных KDC:
Еще раз введите главный ключ к базе данных KDC для контроля:
Идентификация субъекта root/admin@UD3A.AUSTIN.IBM.COM с
паролем.
ПРЕДУПРЕЖДЕНИЕ: стратегия для admin/admin@UD3A.AUSTIN.IBM.COM не задана;
по умолчанию принимается
отсутствие стратегии
Введите пароль для субъекта "admin/admin@UD3A.AUSTIN.IBM.COM":
Еще раз введите пароль для субъекта "admin/admin@UD3A.AUSTIN.IBM.COM":
Субъект "admin/admin@UD3A.AUSTIN.IBM.COM" создан.
Идентификация субъекта root/admin@UD3A.AUSTIN.IBM.COM с
паролем.

Ниже приведен пример вывода при выполнении команды mkkrb5clnt:

Создается /etc/krb5/krb5.conf
Пароль admin/admin@UD3A.AUSTIN.IBM.COM:
Настройка полностью интегрированного входа в систему
Идентификация субъекта admin/admin с существующим одноразовым разрешением.
ПРЕДУПРЕЖДЕНИЕ: стратегия для host/diana@UD3A.AUSTIN.IBM.COM не задана; по умолчанию принимается отсутствие стратегии
Субъект "host/diana@UD3A.AUSTIN.IBM.COM" создан.
 
Одноразовое разрешение администратора НЕ УНИЧТОЖЕНО.
Идентификация субъекта admin/admin с существующим одноразовым разрешением.
 
Одноразовое разрешение администратора НЕ УНИЧТОЖЕНО.
Идентификация субъекта admin/admin с существующим одноразовым разрешением.
Субъект "kadmin/admin@UD3A.AUSTIN.IBM.COM" изменен.
 
Одноразовое разрешение администратора НЕ УНИЧТОЖЕНО.
Настройка Kerberos в качестве схемы идентификации по умолчанию
 
Назначение пользователя root администратором Kerberos
Идентификация субъекта admin/admin с существующим одноразовым разрешением.
ПРЕДУПРЕЖДЕНИЕ: стратегия для root/diana@UD3A.AUSTIN.IBM.COM не задана; по умолчанию принимается отсутствие стратегии
Введите пароль для субъекта "root/diana":
Еще раз введите пароль для субъекта "root/diana":
Субъект "root/diana@UD3A.AUSTIN.IBM.COM" создан.
 
Одноразовое разрешение администратора НЕ УНИЧТОЖЕНО.
 
Очистка одноразовых разрешений администратора и завершение работы.