kerberos

黎明lm

浏览: 303762 次
性别:
来自: 北京

最近访客更多访客>>

baby孔祥超

jiazhigang

slipper-jay

woshiliukun

博主相关

博客

微博

相册

留言

关于我

文章分类

社区版块

存档分类

博客分类：

kerberos 安装

linux kerberos

　kerberos是由MIT开发的提供网络认证服务的系统，很早就听说过它的大名，但一直没有使用过它。它可用来为网络上的各种server提供认证服务,使得口令不再是以明文方式在网络上传输，并且联接之间通讯是加密的；它和PKI认证的原理不一样，PKI使用公钥体制(不对称密码体制)，kerberos基于私钥体制(对称密码体制)。

　　本篇文章不打算详细讲解kerberos的工作原理，而是侧重介绍在redhat8.0环境下如何使用kerberos自己提供的Ktelnetd，Krlogind，Krshd来替代传统的telnetd，rlogind，rshd服务，有关kerberos工作的原理可以参考《Kerberos:AN Authentication Services for Computer Networks》。

　　安装环境：一台i386机器。

　　安装包：krb5-server-1.2.5-6，krb5-workstation-1.2.5-6，krb5-libs-1.2.5-6

　　rpm -ivh krb5-libs-1.2.5-6.i386.rpm

　　rpm -ivh krb5-server-1.2.5-6.i386.rpm

　　rpm -ivh krb5-workstation-1.2.5-6.i386.rpm

　　上述要求满足后，我们就可以先配KDC服务器，然后再配Ktelnetd，Krlogind,Krsh服务器，最后就可以使用krb5-workstation提供的telnet，rlogin，rsh来登录这些服务了。下面是安装步骤：

　　1、生成kerberos的本地数据库

　　kdb5_util create -r EXAMPLE.COM -s

　　这个命令用来生成kerberos的本地数据库，包括几个文件：principal，principal.OK，principal.kadm5，principal.kadm5.lock. -r 指定realm(kerberos术语)，我们随便取一个叫EXAMPLE.COM.

　　2、生成账号

　　kerberos用principal(kerberos术语)来表示realm下的一个帐户，表示为primary/instance@realm，举个例子就是username/9.181.92.90@EXAMPLE.COM,这里假设9.181.92.90是你机器的ip地址.

　　在数据库中加入管理员帐户：

　　/usr/kerberos/sbin/kadmin.local

　　kadmin.local: addprinc admin/admin@EXAMPLE.COM

　　在数据库中加入用户的帐号：

　　kadmin.local: addprinc username/9.181.92.90@EXAMPLE.COM

　　在数据库中加入Ktelnetd，Krlogind，Krshd公用的帐号：

　　kadmin.local: addprinc -randkey host/9.181.92.90@EXAMPLE.COM

　　3、检查/var/kerberos/krb5kdc/kadm5.keytab是否有下列语句：

　　*/admin@EXAMPLE.COM *

　　若没有，那么就添上。

　　4、修改/etc/krb5.conf文件，修改所有的realm为EXAMPLE.COM,并且加入下列句子

　　kdc = 9.181.92.90:88

　　admin_server = 9.181.92.90:749

　　5、在/etc/krb.conf中加入下列语句：

　　EXAMPLE.COM

　　EXAMPLE.COM 9.181.92.90:88

　　EXAMPLE.COM 9.181.92.90:749 admin server

　　6、启动kdc服务器和Ktelnetd，Krlogind，Krshd

　　/etc/init.d/krb5kdc restart

　　chkconfig klogin on

　　chkconfig kshell on

　　chkconfig eklogin on

　　chkconfig krb5-telnet on

　　/etc/init.d/xinetd restart

　　7、制作本地缓存

　　将username/9.181.92.90@EXAMPLE.COM的credentials(kerberos术语)取到本地做为cache，这样以后就可以不用重复输入password了。

　　kinit username/9.181.92.90

　　如果顺利的话，在/tmp下面会生成文件krb5*；这步如果不通，那么就必须检查以上步骤是否有漏。

　　可以用klist命令来查看credential。

　　8、导出用户密匙

　　export host/9.181.92.90@EXAMPLE.COM的key到/etc/krb5.keytab，Ktelnetd、Krlogind和Krshd需要/etc/krb5.keytab来验证username/9.181.92.90的身份。

　　kadmin.local: ktadd -k /etc/krb5.keytab host/9.181.92.90

　　9、修改~/.k5login文件

　　在其中加入username/9.181.92.90@EXAMPLE.COM，表示允许username/9.181.92.90@EXAMPLE.COM登录该帐户

　　cat username/9.181.92.90@EXAMPLE.COM >>~/.k5login

　　10、测试kerberos客户端

　　krsh 9.181.92.90 -k EXAMPLE.COM ls

　　krlogin 9.181.92.90 -k EXAMPLE.COM

　　rlogin 9.181.92.90 -k EXAMPLE.COM

　　rsh 9.181.92.90 -k EXAMPLE.COM

　　telnet -x 9.181.92.90 -k EXAMPLE.COM

分享到：