Cuando est� configurando Kerberos, debe instalar el servidor primero. Si necesita instalar servidores esclavos, los detalles para configurar las relaciones entre servidores maestro y esclavo se cubren en Manual de instalaci�n de Kerberos 5 localizado en el directorio /usr/share/doc/krb5-server-<version-number> (reemplace <version-number> con el n�mero de versi�n del paquete krb5-server instalado en su sistema).
Aseg�rese de que tanto el reloj como el DNS funcionan correctamente en todas las m�quinas servidores y clientes antes de configurar el Kerberos 5. Preste especial atenci�n a la sincronizaci�n de la hora entre el servidor Kerberos y de sus clientes. Si la sincronizaci�n de los relojes del servidor y de los clientes se diferencia en m�s de cinco minutos ( la cantidad predeterminada es configurable en el Kerberos 5), los clientes de Kerberos no podr�n autentificarse al servidor. La sincronizaci�n de los relojes es necesaria para evitar que un intruso use un ticket viejo de Kerberos para hacerse pasar como un usuario autorizado.
Se recomienda configurar una red cliente/servidor compatible con Network Time Protocol (NTP) a�n si no est� usando Kerberos. Red Hat Enterprise Linux incluye el paquete ntp para este prop�sito. Vea /usr/share/doc/ntp-<version-number>/index.htm para detalles sobre c�mo configurar servidores Network Time Protocol y https://www.eecis.udel.edu/~ntp para informaci�n adicional sobre NTP.
Instale los paquetes krb5-libs, krb5-server, y krb5-workstation en una m�quina dedicada que ejecutar� el KDC. Esta m�quina tiene que ser muy segura — si es posible, no deber�a ejecutar ning�n otro servicio excepto KDC.
Si desea usar una utilidad de interfaz gr�fica para administrar Kerberos, instale el paquete gnome-kerberos. Este contiene krb5, que es una herramienta tipo GUI para manejar tickets.
Modifique los archivos de configuraci�n /etc/krb5.conf y /var/kerberos/krb5kdc/kdc.conf para que reflejen el nombre de su reino y las correspondencias (mappings) de dominio a reino. Se puede construir un reino simple sustituyendo las instancias de EXAMPLE.COM y example.com con el nombre correcto del dominio — siempre y cuando se respete el formato correcto de los nombres escritos en may�scula y en min�scula — y se cambie el KDC del kerberos.example.com con el nombre de su servidor Kerberos. En general, los nombres de reinos se escriben en may�scula y todos los nombre DNS de host y nombres de dominio se escriben en min�scula. Para m�s detalles sobre los formatos de estos archivos, vea sus respectivas p�ginas man.
Cree la base de datos usando la utilidad kdb5_util desde el int�rprete de comandos del shell:
/usr/kerberos/sbin/kdb5_util create -s |
El comando create crea la base de datos que ser� usada para almacenar las llaves para el reino Kerberos. La opci�n -s fuerza la creaci�n de un archivo stash en el cual la llave maestra del servidor es guardada. Si no se presenta un archivo stash desde donde leer la llave, el servidor Kerberos (krb5kdc) le pedir� al usuario que ingrese la contrase�a maestra del servidor (la cual puede ser usada para regenerar la llave) cada vez que arranca.
Modifique el archivo /var/kerberos/krb5kdc/kadm5.acl. Este archivo es usado por kadmind para determinar cuales principales tienen acceso administrativo a la base de datos Kerberos y sus niveles de acceso. La mayor�a de las organizaciones pueden resolverse con una sola l�nea:
La mayor�a de los usuarios ser�n presentados en la base de datos por un principal simple (con una instancia NULL, o vac�a, tal como [email protected]). Con esta configuraci�n, los usuarios con un segundo principal con una instancia de admin (por ejemplo, joe/[email protected]) podr�n tener todo el acceso sobre la base de datos del reino Kerberos.
Una vez que se arranca kadmind en el servidor, cualquier usuario puede accesar a sus servicios ejecutando kadmin en cualquiera de los clientes o servidores en el reino. Sin embargo, solamente los usuarios que aparecen en la lista del archivo kadm5.acl podr�n modificar la base de datos, excepto por sus propias contrase�as.
| Nota |
---|
| La utilidad kadmin se comunica con el servidor kadmind por la red y usa Kerberos para llevar a cabo la autentificaci�n. Por esta raz�n, el primer principal ya debe existir antes de conectarse al servidor sobre la red para poder administrarla. Puede crear esta primera entrada con el comando kadmin.local, el cual se ha creado espec�ficamente para usarlo en la misma m�quina que el KDC y no usa Kerberos para la autenticaci�n. |
Escriba el comando kadmin.local en una terminal KDC para crear la primera entrada como usuario principal:
/usr/kerberos/sbin/kadmin.local -q "addprinc username/admin" |
Arranque Kerberos usando los siguientes comandos:
/sbin/service krb5kdc start
/sbin/service kadmin start
/sbin/service krb524 start |
Agregue principals para sus usuarios con el comando addprinc y kadmin. kadmin y kadmin.local son interfaces de l�nea de comandos para el KDC. Como tales, muchos comandos est�n disponibles despu�s de lanzar el programa kadmin. Vea la p�gina del manual kadmin para m�s informaci�n.
Verifique que el servidor KDC est� creando tickets. Primero, ejecute kinit para obtener un ticket y guardarlo en un archivo de credenciales cach�. Luego, use klist para ver la lista de credenciales en su cach� y use kdestroy para eliminar el cach� y los credenciales que contenga.
| Nota |
---|
| Por defecto, kinit intenta autenticar el usuario usando el nombre de conexi�n (login) de la cuenta que us� cuando se conect� al sistema (no al servidor Kerberos). Si ese nombre de usuario no se corresponde a un principal en la base de datos Kerberos, kinitemite un mensaje de error. Si est� ocurre, indique a kinit el nombre de su principal correcto como un argumento en la l�nea de comandos (kinit <principal>). |
Una vez que haya completado los pasos listados, el servidor Kerberos funcionar� correctamente.