Red Hat Linux 7.1: Official Red Hat Linux Reference Guide | ||
---|---|---|
Indietro | Capitolo 9. Kerberos 5 su Red Hat Linux | Avanti |
La configurazione di un client di Kerberos 5 è più semplice di quella del server. È necessario installare i pacchetti client e modificare il file di configurazione krb5.conf. Le versioni "kerberizzate" di rsh e di rlogin richiedono qualche modifica nella configurazione.
Assicuratevi che l'ora tra il client kerberos e KDC sia sincronizzata. Per maggiori informazioni consultate la la sezione Configurazione di un server Kerberos 5 su Red Hat Linux 7.1. Inoltre il DNS deve funzionare correttamente sul client Kerberos prima di installare i programmi.
Installate i pacchetti krb5-libs e krb5-workstation su ogni client della vostra rete. Inoltre modificate il file /etc/krb5.conf in ogni workstation client. Di solito è sufficiente usare il file krb5.conf del KDC.
Prima che un utente possa collegarsi tramite la versione "kerberizzata" di rsh o di rlogin, deve essere installato il pacchetto xinetd. Inoltre i programmi server kshd e klogind devono poter accedere alle chiavi del loro servizio principal.
Tramite il programma kadmin, aggiungete un host principale per la workstation. Poiché non sarà mai necessario introdurre la password per questo principal, potete usare l'opzione -randkey del comando addprinc di kadmin per creare il principal e per assegnare una chiave casuale:
addprinc -randkey host/blah.example.com |
Dopo aver creato il principal, estraete le chiavi per la workstation eseguendo il comando ktadd di kadmin.
ktadd -k /etc/krb5.keytab host/blah.example.com |
Per poter usare la versione "kerberizzata" di rsh e di rlogin, usate ntsysv o chkconfig per abilitare klogin, eklogin e kshell.
Per gli altri servizi di rete va modificata la configurazione. Per usare la versione "kerberizzata" di telnet, dovete abilitare krb5-telnet. Utilizzate i programmi ntsysv o chkconfig affinché il servizio krb5-telnet venga attivato all'avvio del sistema.
Se volete fornire un accesso FTP, dovete creare ed estrarre una chiave per un principal con una root di ftp e impostare il nome dell'host del server FTP. Utilizzate ntsysv o chkconfig per abilitare gssftp.
Il server IMAP incluso nel pacchetto imap usa l'autenticazione GSS-API basata su Kerberos 5 nel caso sia presente il file /etc/krb5.keytab. La root per il principal deve essere imap. Il gserver CVS usa un principal con una root di cvs ed è identico al pserver.
Questa è la configurazione di base per una rete Kerberos semplice.