NOTE: CentOS Enterprise Linux is built from the Red Hat Enterprise Linux source code. Other than logo and name changes CentOS Enterprise Linux is compatible with the equivalent Red Hat version. This document applies equally to both Red Hat and CentOS Enterprise Linux.
Linuxtopia - CentOS Enterprise Linux Rerenzhandbuch- Konfigurieren eines Kerberos 5-Servers
Installieren Sie zuerst den Server, wenn Sie Kerberos einrichten. Wenn Sie Slave-Server einrichten m�ssen, finden Sie Detailinformationen zum Festlegen der Beziehungen zwischen den Master- und Slave-Servern im Kerberos 5 Installation Guide im Verzeichnis /usr/share/doc/krb5-server- <Versionsnummer> (ersetzen Sie <version-number> mit der Versionsnummer des auf Ihrem System installierten krb5-server-Pakets).
F�hren Sie diese Schritte aus, um einen Kerberos-Server zu konfigurieren:
Stellen Sie sicher, dass die Zeitsynchronisierung und DNS auf dem Server funktionieren, ehe Sie Kerberos 5 konfigurieren. Schenken Sie der Zeitsynchronisierung zwischen dem Kerberos-Server und seinen verschiedenen Clients besondere Aufmerksamkeit. �berschreitet die Zeitdifferenz zwischen der Server- und den Clientuhren f�nf Minuten (der Standardwert kann in Kerberos 5 konfiguriert werden), sind die Kerberos-Clients nicht in der Lage, sich am Server anzumelden. Diese Zeitsynchronisierung ist notwendig, um Angreifer davon abzuhalten, ein altes Kerberos-Ticket zu verwenden, um sich als g�ltiger Benutzer auszugeben.
Selbst wenn Sie Kerberos nicht verwenden, sollten Sie ein NTP-kompatibles Client-Server-Netzwerk einrichten. Red Hat Enterprise Linux beeinhaltet hierf�r das ntp-Paket. Weitere Informationen finden Sie unter /usr/share/doc/ntp-<version-number>/index.htm zum Einrichten eines NTP Servers und https://www.eecis.udel.edu/~ntp f�r zus�tzliche Informationen zu NTP.
Installieren Sie auf dem daf�r abgestellten Rechner, auf dem KDC ausgef�hrt wird, die Pakete krb5-libs, krb5-server und krb5-workstation. Dieser Rechner muss extrem sicher sein — wenn m�glich, sollten au�er KDC keine anderen Services ausgef�hrt werden.
Wenn Sie Kerberos mit einem GUI-Utility verwalten m�chten, sollten Sie auch das gnome-kerberos-Paket installieren. Es enth�lt krb5, ein GUI-Tool zum Verwalten von Tickets.
Bearbeiten Sie die Konfigurationsdateien /etc/krb5.conf und /var/kerberos/krb5kdc/kdc.conf, um den Realm-Namen sowie die Domain-zu-Realm-Mappings anzugeben. Ein einfacher Realm kann durch das Ersetzen von Instanzen von BEISPIEL.COM und Beispiel.com durch Ihren Domainnamen erstellt werden — beachten Sie die Gro�- und Kleinschreibung — sowie durch �ndern des KDC von Kerberos.Beispiel.com in den Namen des Kerberos-Servers. Hierbei gilt, dass alle Realm-Namen gro� und alle DNS-Hostnamen und Domainnamen klein geschrieben werden. Weitere Informationen zum Format dieser Dateien finden Sie auf den jeweiligen man-Seiten.
Erstellen Sie die Datenbank mit Hilfe des Dienstprogramms kdb5_util von einem Shell-Prompt:
/usr/kerberos/sbin/kdb5_util create -s
Der Befehl create erstellt die Datenbank, die zum Speichern der Schl�ssel f�r den Kerberos-Realm verwendet wird. Der Switch -s erzwingt die Erstellung einer stash-Datei, in der der Master-Server-Schl�ssel gespeichert wird. Ist keine stash-Datei vorhanden, von der der Schl�ssel gelesen werden kann, fordert der Kerberos-Server (krb5kdc) die Benutzer bei jedem Start zur Eingabe des Passwortes des Master-Servers auf (wodurch der Schl�ssel erneut generiert werden kann).
Bearbeiten Sie die Datei /var/kerberos/krb5kdc/kadm5.acl. Diese Datei wird von kadmind zum Ermitteln der Principals mit Zugriff auf die Kerberos-Datenbank sowie deren Zugriffslevel verwendet. Die meisten Organisationen kommen mit einer einzigen Zeile aus:
Die meisten Benutzer werden in der Datenbank durch einen einzelnen Principal dargestellt (mit einer NULL oder leeren Instanz wie zum Beispiel [email protected]). Mit dieser Konfiguration k�nnen Benutzer mit einem zweiten Principal mit einer admin-Instanz (zum Beispiel joe/[email protected]) kompletten Zugriff auf die Kerberos-Datenbank des Realm erhalten.
Sobald kadmind auf dem Server gestartet ist, k�nnen alle Benutzer auf die Dienste zugreifen, indem sie auf einem beliebigen Client oder Server im Realm kadmin ausf�hren. Allerdings k�nnen nur die in der Datei kadm5.acl genannten Benutzer die Datenbank in irgendeiner Form �ndern, ausgenommen nat�rlich das eigene Passwort.
Anmerkung
Das kadmin-Utility kommuniziert mit dem kadmind-Server �ber das Netzwerk, wobei Kerberos f�r die Authentifizierung verwendet wird. Sie m�ssen nat�rlich den ersten Principal erstellen, ehe Sie eine Verbindung mit dem Server �ber das Netzwerk herstellen k�nnen, um diesenzu verwalten. Erstellen Sie den ersten Principal mit dem Befehl kadmin.local, der speziell f�r den Gebrauch auf demselben Host wie KDC entworfen ist und Kerberos nicht zur Authentifizierung verwendet.
Geben Sie am KDC-Terminal den folgenden kadmin.local-Befehl ein, um den ersten Principal zu erstellen:
F�gen Sie Principals f�r Ihre Benutzer mit Hilfe des Befehls addprinc mit kadmin hinzu. kadmin und kadmin.local auf dem Master-KDC sind die Befehlszeilenschnittstellen zum KDC. Insofern stehen viele Befehle nach dem Starten des kadmin-Programms zur Verf�gung. Weitere Informationen finden Sie auf der man-Seite zu kadmin.
�berpr�fen Sie, ob das KDC Tickets ausgibt. F�hren Sie zuerst kinit aus, um ein Ticket zu erhalten, und speichern Sie es in einer Credential-Cache-Datei. Zeigen Sie dann mit klist eine Referenzenliste im Cache an und verwenden Sie kdestroy, um den Cache sowie die enthaltenen Referenzen zu zerst�ren.
Anmerkung
Standardm��ig versucht kinit Sie mit Hilfe des Anmeldenamens des Kontos zu authentifizieren, das Sie zur ersten Anmeldung am System verwendeten (nicht am Kerberos-Server). Entspricht der Systembenutzername keinem Principal in der Kerberos- Datenbank, gibt kinit eine Fehlermeldung aus. Geben Sie in diesem Fall kinit den Namen Ihres Principal als Argument auf der Befehlszeile an (kinit <principal>).
Wenn Sie oben genannte Schritte ausgef�hrt haben, sollte Ihr Kerberos-Server korrekt funktionieren.