Vitajte na [www.pocitac.win] Pripojiť k domovskej stránke Obľúbené stránky
Než začnete s nastavovaním Kerberos v systéme , mali by ste poznať názov Kerberos , hostname master a slave Key Distribution Center ( KDC ) a ako plánujete mapovať názvy hostiteľov v Kerberos oblasti . Budete potrebovať určiť porty , ktoré sú KDCs a prístup k databáze ( kadmin ) služby budú používať . Budete tiež musieť vedieť , ako často master a slave KDCs vyplní databáze .
Budete používať vyššie uvedené informácie pre konfiguráciu master KDC . Master konfiguračné súbory KDC bude možné nájsť na " /etc/krb5.conf " a " /usr/local/var/krb5kdc/kdc.conf " a možno ich upravovať v ľubovoľnom textovom editore . Súbor " krb5.conf " obsahuje informácie o tom , kde nájsť KDC a admin serverov , rovnako ako informácie o názov hostiteľa mapovanie . Súbor " kdc.conf " obsahuje štandardné informácie o použitej pri vydávaní lístky Kerberos . Otvorte " /etc/krb5.conf " a upraviť " login " , " ríša " a " domain_realm " hodnoty tak , že sú správne pre váš systém . Zmeniť " /usr/local/var/krb5kdc/kdc.conf " tak , aby zodpovedala správne informácie o serveri KDC .
Ďalším krokom je vytvorenie databázy . Otvorte terminál a zadajte príkaz " kdb5_util . " Budete vyzvaní k poskytnutiu univerzálny kľúč . To by malo byť reťazec písmen , číslic a špeciálnych znakov podobnými hesla . Tento kľúč bude uložený v súbore skrýšu na pevnom disku KDC . Ak by ste radšej byť vyzvaní na zadanie kľúča pri každom spustení Kerberos , môžete si zvoliť , že nechcete vytvoriť súbor stash .
Nakoniec sa vytvoriť zoznam riadenia prístupu ( ACL ) a pridať aspoň jeden správcu k nej . ACL je textový súbor vytvorený užívateľom , ktorý sa nazýva " /usr/local/var/krb5kdc/kadm5.acl . " Tento súbor by mal mať správca uvedené v tomto tvare : oprávnenie Kerberos_principal [ target_principal ] [ obmedzovacie ] Akonáhle je zoznam ACL je vytvorený , zadajte príkaz " kadmin.local " a pridať každý istinu do databázy . Začnite démonmi Kerberos pomocou príkazu " /usr/local/sbin/krb5kdc ; . /Usr /local /sbin /kadmin "
Vytvorenie súboru tabuľky kľúčov
keytab súbor sa používa na dešifrovanie lístky Kerberos a určiť , či používateľ by mal mať prístup k databáze . Za účelom vytvorenia tohto súboru , napíšte príkaz " kadmin.local " znova . To vám poskytne riadku , kde budete zadajte príkaz : " ktadd - k /usr/local/var/krb5kdc/kadm5.keytab kadmin /admin kadmin /changepw " vytvoriť súbor tabuľky kľúčov . Vymeňte sekcie " /usr/local/var/krb5kdc/kadm5.keytab " s tabuľky kľúčov umiestnenie , ktorá bola zadaná v súbore " /usr/local/var/krb5kdc/kdc.conf " . Zadajte " quit " na opustenie " kadmin " nástroj .
Konfigurácia Slave KDC
Ak chcete vytvoriť slave KDC , budete vydávať " kadmin . miestnej " príkaz tretíkrát . Do príkazového riadka zadajte príkaz " addprinc - randkey hostiteľa /example.com " pre Majstra a každý otrok . Použite názov hostiteľa pre každý KDC miesto " example.conf . " Tým sa vytvorí hostiteľskej kľúča pre každý z KDC . Ďalšie , rozbaľte kľúče na každý slave KDC spustením " kadmin " nástroj na každom z otrokov a zadaním príkazu " ktadd hostiteľa /MasterKDC.com . " Nahradiť " MasterKDC.com " s názvom hostiteľa master KDC .
Databáza sa musia získavať z hlavného KDC na slave KDC budete musieť vytvoriť súbor s názvom " /usr /local /var /krb5kdc/kpropd.acl . " Tento súbor musí obsahovať princípy pre každú z KDC v tvare " host /example.com . " Každá hlavná by mal byť umiestnený na samostatnom riadku
Ďalej upravte súbor " /etc /inetd.conf " na každej z KDC a pridajte nasledujúce riadky : . Krb5_prop stream tcp nowait root /usr /local /sbin /kpropd kpropdeklogin stream tcp nowait root /usr /local /sbin /klogind klogind - k - c- e
upraviť súbor " /etc /services " , na každom z KDC a pridajte nasledujúce riadky : Kerberos 88/udp KDC # Kerberos autentizácia ( UDP ) Kerberos KDC 88/tcp # Kerberos autentizáciu ( TCP ) krb5_prop 754/tcp # Kerberos otrok propagationkerberos - správa 749/tcp # Kerberos 5 admin /changepw ( tcp ) kerberos - adm 749/udp # Kerberos 5 admin /changepw ( UDP ) eklogin 2105/tcp # Kerberos šifrovaná rlogin
Sadbový databázy
Sadbový databázy sa vykonáva z hlavného KDC . Vydať príkaz " /usr/local/sbin/kdb5_util výpisu /usr/local/var/krb5kdc/slave_datatrans " vytvoriť výpis z databázy . Ďalej zadajte príkaz " /usr /local /sbin /kprop - f /usr/local/var/krb5kdc/slave_datatrans Slave - 1.example.com " ručne šírenie databáze na každej z otrokov .
< P > Tieto kroky budú musieť byť dokončená na pravidelnom základe . Najjednoduchší spôsob , ako to urobiť , je vytvoriť ako skript a spustiť skript ako cron . Skript by mal vyzerať : # /bin /sh
kdclist = " otrok - 1.example.com otrok - 2.example.com "
/usr/local/sbin/kdb5_util " dump = > /usr/local/var/krb5kdc/slave_datatrans "
pre KDC na $ kdclistdo /usr /local /sbin /kprop - f /usr/local/var/krb5kdc/slave_datatrans $ kdcdone
Samozrejme , zmeniť názvy hostiteľov , aby odrážala hodnoty pre váš systém .
Vytvor Stash súborov na Slave
Posledným krokom k vytvoreniu Kerberos je vytvoriť skrýšu súbory na slave KDC . Na každom slave KDC vydá príkaz " kdb5_util skrýšu " , a poskytnúť hlavný kľúč po zobrazení výzvy . Akonáhle to je dokončená , môžete spustiť " krb5kdc " démona na každom otroka s príkazom " /usr/local/sbin/krb5kdc /. "
Copyright © počítačové znalosti Všetky práva vyhradené