kerberos5 安装与配置

JediKnight

Kerberos安装使用报告

     kerberos是由MIT开发的提供网络认证服务的系统。它可用来为网络上的各种server提供认证服务,使得口令不再是以明文方式在网络上传输，并且联接之间通讯是加密的；它和PKI认证的原理不一样，PKI使用公钥体制(不对称密码体制)，kerberos基于私钥体制(对称密码体制)。
     本文着重在Fedora Core1等linux环境下配置Kerberos的服务器配置。为了验证kerberos的配置，另外使用了kerberos自己提供的Ktelnetd，Krlogind来替代传统的telnetd，rlogind服务。
      
安装环境：一台i386机器。
操作系统：linux Fefora core1
安装包：krb5-server-1.3.3-1，krb5-workstation-1.3.3-1，krb5-libs-1.3.3-1
安装命令：        
rpm -ivh krb5-libs-1.3.3-1.i386.rpm
        rpm -ivh krb5-server-1.3.3-1.i386.rpm
        rpm -ivh krb5-workstation-1.3.3-1.i386.rpm

??上述要求满足后，我们就可以先配KDC服务器，然后再配Ktelnetd，Krlogind服务器，最后就可以使用krb5-workstation提供的telnet，rlogin来登录这些服务了。下面是安装步骤：

1、生成kerberos的本地数据库

kdb5_util create -r EXAMPLE.COM -s
这个命令用来生成kerberos的本地数据库，包括几个文件：principal，principal.OK，principal.kadm5，principal.kadm5.lock. -r 指定realm(kerberos术语)，我取了一个叫EXAMPLE.COM.

2、生成账号

kerberos用principal(kerberos术语)来表示realm下的一个帐户，表示为primary/instance@realm.

在数据库中加入管理员帐户：
/usr/kerberos/sbin/kadmin.local
kadmin.local: addprinc admin/[email protected]
在数据库中加入用户的帐号：
kadmin.local: addprinc [email protected]
在数据库中加入Ktelnetd，Krlogind，Krshd公用的帐号：
在这里假设你的机器IP地址为192.168.0.1,机器名字为KServer
kadmin.local: addprinc -randkey host/[email protected]



3、检查/var/kerberos/krb5kdc/kadm5.acl是否有下列语句：

*/[email protected] *
若没有，那么就添上。

4、修改/etc/krb5.conf文件，修改所有的realm为EXAMPLE.COM,并且加入下列句子

kdc = 192.168.0.1:88
admin_server = 192.168.0.1:749

5、在/etc/krb.conf中加入下列语句：

EXAMPLE.COM
EXAMPLE.COM 192.168.0.1:88
EXAMPLE.COM 192.168.0.1:749 admin server

6、启动kdc服务器和Ktelnetd，Krlogind，Krshd

service krb5kdc start
service kadmin start
chkconfig klogin on
chkconfig krb5-telnet on
service xinetd restart

7、制作本地缓存
    将[email protected]的credentials(kerberos术语)取到本地做为cache，这样以后就可以不用重复输入password了。

    kinit [email protected]

    如果顺利的话，在/tmp下面会生成文件krb5*；这步如果不通，那么就必须检查以上步骤是否有漏。

可以用klist命令来查看credential。

8、导出用户密匙

export host/[email protected]的key到/etc/krb5.keytab，Ktelnetd、Krlogind和Krshd需要/etc/krb5.keytab来验证[email protected]的身份。

kadmin.local: ktadd -k /etc/krb5.keytab host/KServer

9、测试kerberos客户端

rlogin 192.168.0.1 -k EXAMPLE.COM
telnet -x 192.168.0.1 -k EXAMPLE.COM