Red Hat Linux 7.0: Das Offizielle Red Hat Linux Referenzhandbuch | ||
---|---|---|
Zurück | Kapitel 8 Verwenden von Kerberos 5 in Red Hat Linux | Vor |
Das Einrichten eines Kerberos 5 Clients ist weniger aufwendig als das Einrichten eines Servers. Die Mindestvoraussetzung besteht darin, die Client-Pakete zu installieren und Ihren Clients eine gültige Konfigurationsdatei krb5.conf zur Verfügung zu stellen. Die kerberisierten Versionen von rsh und rlogin erfordern ebenfalls einige Konfigurationsänderungen.
Installieren Sie die Pakete krb5-libs und krb5-workstation auf allen Clients in Ihrem Realm. Es ist erforderlich, dass Sie für Ihre Client-Workstations Ihre eigene Version von /etc/krb5.conf zur Verfügung stellen. In der Regel kann es sich um dieselbe krb5.conf handeln, die vom KDC verwendet wird.
Bevor Benutzer über eine Workstation in Ihrem Realm mit kerberisiertem rsh und rlogin eine Verbindung herstellen können, muss auf der betreffenden Workstation das Paket xinetd installiert worden sein, und die Workstation muss in der Kerberos-Datenbank über einen eigenen Host-Principal verfügen. Außerdem müssen die Serverprogramme kshd und klogind Zugriff auf die Keys haben, die für den Principal ihres Dienstes gelten.
Verwenden Sie kadmin, um einen Host-Principal für die Workstation hinzuzufügen. In diesem Fall besteht der Instance aus dem Hostnamen der Workstation. Da Sie das Passwort für diesen Principal wahrscheinlich nie wieder einzugeben brauchen und Sie sich deshalb vermutlich keine großen Gedanken um ein besonderes Passwort machen möchten, können Sie für den kadmin-Befehl addprinc einfach die Option -randkey verwenden, um den Principal zu erstellen und ihm ein Zufallspasswort zuzuweisen:
addprinc -randkey host/blah.example.com |
Nachdem Sie den Principal erzeugt haben, können Sie nun die Keys für die Workstation extrahieren. Führen Sie dazu kadmin direkt auf der Workstation aus, und verwenden Sie den kadmin-Befehl ktadd:
ktadd -k /etc/krb5.keytab host/blah.example.com |
Um die kerberisierten Versionen von rsh und rlogin verwenden zu können, müssen Sie entweder ntsysv oder chkconfig benutzen, um klogin, eklogin und kshell zu aktivieren.
Darüber hinaus müssen auch andere kerberisierte Netzwerkdienste gestartet werden. Um den kerberisierten telnet-Dienst verwenden zu können, müssen Sie ktelnet mit Hilfe von ntsysv oder chkconfig aktivieren.
Falls Sie außerdem FTP-Zugang zur Verfügung stellen möchten, müssen Sie einen Key für einen Principal erzeugen und extrahieren. Der Root dieses Key muss FTP lauten, und als Instance muss der Rechnername des FTP-Servers angegeben sein. Verwenden Sie anschließend ntsysv oder chkconfig, um gssftp zu aktivieren.
Der im Paket imap enthaltene IMAP-Server verwendet mit Hilfe von Kerberos 5 die GSS-API-Authentifizierung, sofern er den entsprechenden Key in /etc/krb5.keytab findet. Der Root für den Principal sollte imap lauten. Der CVS gserver verwendet einen Principal mit dem Root cvs; ansonsten ist er identisch mit einem pserver.
Dies sind alle Informationen, die Sie benötigen, um einen einfachen Kerberos-Realm einzurichten.