NOTE: CentOS Enterprise Linux is built from the Red Hat Enterprise Linux source code. Other than logo and name changes CentOS Enterprise Linux is compatible with the equivalent Red Hat version. This document applies equally to both Red Hat and CentOS Enterprise Linux.
Linuxtopia - CentOS Enterprise Linux Reference Guide - Configurazione di un client Kerberos 5
La configurazione di un client Kerberos 5 � meno impegnativa rispetto a quella del server. Dovete, come minimo, installare i pacchetti client e fornire a ciascun client un file di configurazione krb5.conf valido. Le versioni kerberizzate di rsh e rlogin necessitano anche di alcune modifiche.
Assicuratevi che il client kerberos e il KDC siano sincronizzati. Per maggiori informazioni in merito, consultate la Sezione 19.5. Accertatevi, inoltre, che il DNS funzioni correttamente sul client Kerberos prima di configurare i programmi relativi al client di Kerberos.
Installate i pacchetti krb5-libs e krb5-workstation su tutte le macchine client. Dovete anche fornire un file /etc/krb5.conf valido per ciascun client (in genere, si pu� utilizzare lo stesso krb5.conf usato dal KDC).
Prima che una workstation presente nel realm possa consentire agli utenti di collegarsi utilizzando versioni Kerberizzate di rsh e rlogin, occorre installarvi il pacchetto xinetd ed � necessario che il principal host sia incluso nel database di Kerberos. Anche per i programmi del serverkshd e klogind, sar� necessario l'accesso alle chiavi per i principal dei loro servizi.
Utilizzando kadmin, aggiungete un principal host alla workstation sul KDC. L'istanza, in questo caso, sar� l'hostname della postazione. Potete utilizzare l'opzione -randkey per addprinc appartenente al comando kadmin per creare il principal e assegnargli una chiave casuale:
addprinc -randkey host/blah.example.com
Una volta creato il principal, potete estrarre le chiavi per la workstation eseguendo kadmindirettamente sulla workstation e utilizzare il comando ktadd all'interno di kadmin:
ktadd -k /etc/krb5.keytab host/blah.example.com
Se desiderate utilizzare altri servizi di rete Kerberizzati, essi devono esseri prima avviati. Di seguito viene riportato un elenco dei servizi kerberizzati pi� comuni e le istruzioni su come abilitarli:
rsh e rlogin — Per utilizzare la versione Kerberizzata di rsh e rlogin, dovete abilitare klogin, eklogin e kshell.
Telnet — Per usare la versione kerberizzata di Telnet, dovete abilitare krb5-telnet.
FTP — Per l'accesso FTP, create ed estraete una chiave per un principal con una root di ftp. Assicurarsi di impostare l'istanza sull'hostname qualificato del server FTP, abilitate poi gssftp.
IMAP — Per utilizzare un server IMAP kerberizzato, il pacchetto cyrus-imap usa Kerberos 5 solo se � stato installato il pacchetto cyrus-sasl-gssapi. Il pacchetto cyrus-sasl-gssapi contiene i plugin Cyrus SASL i quali supportano l'autenticazione GSS-API. Cyrus IMAP dovrebbe funzionare correttamente con kerberos, fino a quando l'utente cyrus � in grado di trovare la chiave corretta in /etc/krb5.keytab, e root per il principal, � impostato su imap (creato con kadmin).
Il pacchetto dovecot contiene altres� un server IMAP alternativo a cyrus-imap, il quale � incluso con Red Hat Enterprise Linux, ma non supporta, per ora, GSS-API e Kerberos.
CVS — Per utilizzare un server CVS kerberizzato, gserver utilizza un principal con un root di cvs ed � identico al pserver del CVS.
Per maggiori dettagli su come abilitare i servizi, controllare il capitolo intitolato Controllo dell'accesso ai servizi nel Red Hat Enterprise Linux System Administration Guide.
