NOTE: CentOS Enterprise Linux is built from the Red Hat Enterprise Linux source code. Other than logo and name changes CentOS Enterprise Linux is compatible with the equivalent Red Hat version. This document applies equally to both Red Hat and CentOS Enterprise Linux.
Linuxtopia - CentOS Enterprise Linux Rerenzhandbuch- Konfigurieren eines Kerberos 5-Clients
Das Einrichten eines Kerberos 5-Client ist wesentlich einfacher als das Einrichten eines Servers. Sie sollten zumindest die Clientpakete installieren und den Clients eine g�ltige krb5.conf-Konfigurationsdatei zur Verf�gung stellen. Kerberisierte Versionen von rsh und rlogin erfordern ebenfalls einige Konfigurations�nderungen.
Stellen Sie sicher, dass zwischen dem Kerberos-Client und KDC Zeitsynchronisierung vorhanden ist. Weitere Informationen finden Sie unter Abschnitt 19.5. Zudem sollten Sie pr�fen, dass DNS auf dem Kerberos-Client fehlerfrei l�uft, bevor die Kerberos-Clientprogramme installiert werden.
Installieren Sie die Pakete krb5-libs und krb5-workstation auf allen Client-Rechnern. F�r jeden Client m�ssen Sie eine g�ltige Version von /etc/krb5.conf zur Verf�gung stellen (dies kann normalerweise dieselbe krb5.conf-Datei sein, die von KDC verwendet wird).
Bevor eine bestimmte Workstation im Realm Benutzern das Herstellen einer Verbindung mit Hilfe der kerberisierten Befehle rsh und rlogin erlaubt, muss auf der Workstation zum einen das xinetd-Paket installiert sein und zum anderen muss diese auch einen eigenen Hostprincipal in der Kerberos-Datenbank haben. Die Serverprogramme kshd und klogind ben�tigen ebenfalls Zugriff auf die Schl�ssel f�r den Principal ihres Services.
Mit Hilfe von kadmin f�gen Sie einen Hostprincipal f�r die Workstation auf dem KDC hinzu. Die Instanz ist in diesem Fall der Hostname der Workstation. Sie k�nnen die Option -randkey f�r den kadmin-Befehl addprinc verwenden, um den Principal zu erstellen und ihm einen zuf�llig ausgew�hlten Schl�ssel zuweisen:
addprinc -randkey host/blah.example.com
Nachdem der Principal erstellt ist, k�nnen Sie die Schl�ssel f�r die Workstation extrahieren, indem Sie kadminauf der Workstation selbst ausf�hren und den Befehl ktadd in kadmin verwenden:
ktadd -k /etc/krb5.keytab host/blah.example.com
Sollten Sie andere kerberisierten Netzwerk-Services benutzen wollen, m�ssen diese gestartet werden. Folgend ist eine Liste der gebr�uchlicheren kerberisierten Dienste und Anleitungen dazu, wie Sie diese aktivieren k�nnen:
rsh und rlogin — Um die kerberisierten Versionen von rsh und rlogin zu verwenden, m�ssen Sie klogin, eklogin und kshell aktivieren.
Telnet — Um das kerberisierte Telnet verwenden zu k�nnen, m�ssen Sie krb5-telnet aktivieren.
FTP — Zum Bereitstellen von FTP-Zugriff m�ssen Sie einen Schl�ssel f�r einen Principal mit einem root von ftp erstellen und extrahieren. Dabei muss die Instanz auf den Hostnamen des FTP-Servers festgelegt sein. Aktivieren Sie dann gssftp.
IMAP — Um einen kerberisierten IMAP-Server zu benutzen, verwendet das cyrus-imap-Paket Kerberos 5, sobald das cyrus-sasl-gssapi-Paket installiert ist. Das cyrus-sasl-gssapi-Paket beinhaltet die Cyrus SASL Plugins, welche die GSS-API Authentifizierung unterst�tzen. Cyrus IMAP sollte einwandfrei mit Kerberos funktionieren, solange der cyrus Benutzer in der Lage ist, den richtigen Key in /etc/krb5.keytab zu finden und root auf imap (erstellt mittels kadmin) gesetzt ist.
Das dovecot-Paket beinhaltet ebenfalls eine IMAP-Server Alternative zu cyrus-imap, welche auch in Red Hat Enterprise Linux inkludiert ist, jedoch GSS-API und Kerberos bislang nicht unterst�tzt.
CVS — CVSs kerberisierter gserver verwendet einen Principal mit cvs als root und stimmt andernfalls mit pserver �berein.
Detaillierte Informationen zum Aktivieren von Services finden Sie im Kapitel Zugriffskontrolle f�r Dienste im Red Hat Enterprise Linux Handbuch zur System-Administration.