kerberos的安装配置

来源：Linux-cn.com 作者：Webmaster 时间：2007-05-05 点击： [收藏] [投稿]

kerberos是由MIT开发的提供网络认证服务的系统，很早就听说过它的大名，但一直没有使用过它。它可用来为网络上的各种server提供认证服务,使得口令不再是以明文方式在网络上传输，并且联接之间通讯是加密的；它和PKI认证的原理不一样，PKI使用公钥体制(不对称密码体制)，kerberos基于私钥体制(对称密码体制)。

本篇文章不打算详细讲解kerberos的工作原理，而是侧重介绍在redhat8.0环境下如何使用kerberos自己提供的Ktelnetd，Krlogind，Krshd来替代传统的telnetd，rlogind，rshd服务，有关kerberos工作的原理可以参考《Kerberos:AN Authentication Services for Computer Networks》。


安装环境：一台i386机器。
安装包：krb5-server-1.2.5-6，krb5-workstation-1.2.5-6，krb5-libs-1.2.5-6
rpm -ivh krb5-libs-1.2.5-6.i386.rpm
rpm -ivh krb5-server-1.2.5-6.i386.rpm
rpm -ivh krb5-workstation-1.2.5-6.i386.rpm

上述要求满足后，我们就可以先配KDC服务器，然后再配Ktelnetd，Krlogind,Krsh服务器，最后就可以使用krb5-workstation提供的telnet，rlogin，rsh来登录这些服务了。下面是安装步骤：

1、生成kerberos的本地数据库

kdb5_util create -r EXAMPLE.COM -s

这个命令用来生成kerberos的本地数据库，包括几个文件：principal，principal.OK，principal.kadm5，principal.kadm5.lock. -r 指定realm(kerberos术语)，我们随便取一个叫EXAMPLE.COM.

2、生成账号

kerberos用principal(kerberos术语)来表示realm下的一个帐户，表示为primary/instance@realm，举个例子就是username/9.181.92.90@EXAMPLE.COM,这里假设9.181.92.90是你机器的ip地址.


在数据库中加入管理员帐户：
/usr/kerberos/sbin/kadmin.local
kadmin.local: addprinc admin/admin@EXAMPLE.COM
在数据库中加入用户的帐号：
kadmin.local: addprinc username/9.181.92.90@EXAMPLE.COM
在数据库中加入Ktelnetd，Krlogind，Krshd公用的帐号：
kadmin.local: addprinc -randkey host/9.181.92.90@EXAMPLE.COM

3、检查/var/kerberos/krb5kdc/kadm5.keytab是否有下列语句：

*/admin@EXAMPLE.COM *

若没有，那么就添上。

4、修改/etc/krb5.conf文件，修改所有的realm为EXAMPLE.COM,并且加入下列句子


kdc = 9.181.92.90:88
admin_server = 9.181.92.90:749

5、在/etc/krb.conf中加入下列语句：


EXAMPLE.COM
EXAMPLE.COM 9.181.92.90:88
EXAMPLE.COM 9.181.92.90:749 admin server

6、启动kdc服务器和Ktelnetd，Krlogind，Krshd


/etc/init.d/krb5kdc restart
chkconfig klogin on
chkconfig kshell on
chkconfig eklogin on
chkconfig krb5-telnet on
/etc/init.d/xinetd restart

7、制作本地缓存

将username/9.181.92.90@EXAMPLE.COM的credentials(kerberos术语)取到本地做为cache，这样以后就可以不用重复输入password了。

kinit username/9.181.92.90

如果顺利的话，在/tmp下面会生成文件krb5*；这步如果不通，那么就必须检查以上步骤是否有漏。

可以用klist命令来查看credential。

8、导出用户密匙

export host/9.181.92.90@EXAMPLE.COM的key到/etc/krb5.keytab，Ktelnetd、Krlogind和Krshd需要/etc/krb5.keytab来验证username/9.181.92.90的身份。
kadmin.local: ktadd -k /etc/krb5.keytab host/9.181.92.90

9、修改~/.k5login文件

在其中加入username/9.181.92.90@EXAMPLE.COM，表示允许username/9.181.92.90@EXAMPLE.COM登录该帐户


cat username/9.181.92.90@EXAMPLE.COM >>~/.k5login

10、测试kerberos客户端


krsh 9.181.92.90 -k EXAMPLE.COM ls
krlogin 9.181.92.90 -k EXAMPLE.COM
rlogin 9.181.92.90 -k EXAMPLE.COM
rsh 9.181.92.90 -k EXAMPLE.COM
telnet -x 9.181.92.90 -k EXAMPLE.COM

如果您对本文有任何疑问或者建议，请到讨论区发表您的意见: >> 论坛入口 <<

上一篇：浅谈Linux安全下一篇：Linux逻辑盘卷管理LVM详解

【文章评论】【收藏本文】【推荐好友】【打印本文】【我要投稿】【论坛讨论】

更多相关文章

·Motorola微处理器bootloader分析与应用

·Fedora Core5 NFS服务器搭建过程介绍

·Linux系统：让内存不再泄漏的实用技巧

·新手看招手把手教你安装VMware虚拟机

·“侵权事件” 红帽称微软企图干扰用户

·删除Linux后如何找回Windows启动菜单

·菜鸟乐园 Linux中常见文件系统格式介绍

·Linux操作系统下IPTables配置方法详解

·实用技巧 Linux系统的经典使用技巧八则

·Linux系统文件优化及磁盘检查方法介绍