Konfigurieren von Linux an Authentifizierung von Kerberos

Konfigurieren von Linux an Authentifizierung von Kerberos
Kerberos bleibt für die meisten Arbeitsumgebungen eines der sichersten Authentifizierungsprotokolle. Es bietet zuverlässige Einzelsignier- oder Netzwerkanmeldungen für Benutzer in nicht-sicheren Netzwerken. Im Idealfall bietet Kerberos Benutzern Tickets, damit sie die häufige Verwendung von Kennwörtern über Netzwerken minimieren können.

Die häufige Verwendung von Passwörtern erhöht die Möglichkeit eines Datenverstoßes oder eines Diebstahls für Kennwort. Aber wie die meisten Authentifizierungsprotokolle hängt Ihr Erfolg mit Kerberos auf ordnungsgemäße Installation und Setup ab.

Viele Leute finden manchmal konfigurierende Linux, um Kerberos eine mühsame Aufgabe zu verwenden. Dies kann für Erstnutzer zutreffen. Das Konfigurieren von Linux für Authentifizierung mit Kerberos ist jedoch nicht so kompliziert, wie Sie denken.

Dieser Artikel bietet Ihnen eine Schritt-für-Schritt-Anleitung zum Konfigurieren von Linux, um sich mit Kerberos zu authentifizieren. Zu den Dingen, die Sie aus dieser Beschreibung lernen werden, gehören:

  • Setzen Sie Ihre Server
  • Die Voraussetzungen, die für die Linux -Kerberos -Konfiguration erforderlich sind
  • Einrichten Ihrer KDC und Datenbanken
  • Kerberos Service Management und Verwaltung

Schritt -für -Schritt

Die folgenden Schritte sollten Ihnen helfen, Linux so zu konfigurieren, dass sie sich mit Kerberos authentifizieren

Schritt 1: Stellen Sie sicher, dass beide Maschinen die Voraussetzungen für die Konfiguration von Kerberos Linux erfüllen

Zunächst müssen Sie sicherstellen, dass Sie Folgendes vornehmen, bevor Sie mit dem Konfigurationsprozess beginnen:

  1. Sie müssen eine funktionale Kerberos Linux -Umgebung haben. Insbesondere müssen Sie sicherstellen, dass Sie über einen Kerberos -Server (KDC) und einen Kerberos -Client in separaten Maschinen eingerichtet sind. Nehmen wir an, der Server ist mit den folgenden Internet -Protokolladressen bezeichnet: 192.168.1.14, und der Kunde läuft an der folgenden Adresse 192.168.1.15. Der Kunde fragt nach Tickets vom KDC.
  2. Die Zeitsynchronisation ist obligatorisch. Sie verwenden die Netzwerkzeitsynchronisation (NTP), um sicherzustellen, dass beide Maschinen im gleichen Zeitraum ausgeführt werden. Jedes Zeitunterschied von mehr als 5 Minuten führt zu einem fehlgeschlagenen Authentifizierungsprozess.
  3. Sie benötigen einen DNS für die Authentifizierung. Der Domain -Netzwerkdienst hilft dabei, Konflikte in der Systemumgebung zu lösen.

Schritt 2: Richten Sie ein Schlüsselverteilungszentrum ein

Sie sollten bereits über einen funktionalen KDC verfügen, den Sie während der Installation eingerichtet haben. Sie können den folgenden Befehl in Ihrem KDC ausführen:

Schritt 3: Überprüfen Sie die installierten Pakete

Überprüf den/ etc/ krb5.Conf Datei, um herauszufinden, welche Pakete vorhanden sind. Unten finden Sie eine Kopie der Standardkonfiguration:

Schritt 4: Bearbeiten Sie die Standard-/VAR/Kerberos/KRB5KDC/KDC.Conf -Datei

Nach erfolgreicher Konfiguration können Sie/var/Kerberos/KRB5KDC/KDC bearbeiten.Conf -Datei durch Entfernen von Kommentaren im Abschnitt Realm, default_reams und Änderungen, um Ihre Kerberos -Umgebung anzupassen.

Schritt 5: Erstellen Sie die Kerberos -Datenbank

Nach erfolgreicher Bestätigung der obigen Details erstellen wir die Kerberos -Datenbank mit dem KDB_5. Das von Ihnen erstellte Passwort ist hier unerlässlich. Es wird als unser Hauptschlüssel dienen, da wir sie zum Verschlingen der Datenbank für einen sicheren Speicher verwenden werden.

Der obige Befehl wird für etwa eine Minute ausgeführt, um zufällige Daten zu laden. Wenn Sie Ihre Maus um die Presse halten oder in der GUI in der GUI umgehen.

Schritt 6: Serviceverwaltung

Der nächste Schritt ist Service Management. Sie können Ihr System automatisch starten, um Kadmin- und KRB5KDC -Server zu ermöglichen. Ihre KDC -Dienste konfigurieren automatisch, nachdem Sie Ihr System neu gestartet haben.

Schritt 7: Konfigurieren Sie die Firewalls

Wenn die Ausführung der oben genannten Schritte erfolgreich ist, sollten Sie die Firewall konfigurieren, um die Firewall zu konfigurieren. Bei der Firewall -Konfiguration werden die richtigen Firewall -Regeln festgelegt, die es dem System ermöglichen, mit KDC -Diensten zu kommunizieren.

Der folgende Befehl sollte nützlich sein:

Schritt 8: Testen Sie, ob der KRB5KDC mit den Ports kommuniziert

Der initialisierte Kerberos -Service sollte den Datenverkehr von TCP und UDP Port 80 zulassen. Sie können den Bestätigungstest durchführen, um dies zu ermitteln.

In diesem Fall haben wir den Kerberos erlaubt, den Verkehr zu unterstützen, der Kadmin TCP 740 erfordert. Das Remote -Zugriffsprotokoll berücksichtigt die Konfiguration und verbessert die Sicherheit für den lokalen Zugriff.

Schritt 9: Kerberos Administration

Verwalten Sie das Schlüsselverteilungszentrum mit dem Kadnim.Lokaler Befehl. Mit diesem Schritt können Sie auf den Inhalt im Kadmin zugreifen und anzeigen.lokal. Du kannst den ... benutzen "?Befehl, um zu sehen.

Schritt 10: Richten Sie den Client ein

Das wichtigste Verteilungszentrum akzeptiert Verbindungen und bietet den Benutzern Tickets für diesen Punkt an. Einige Methoden sind nützlich, um die Client -Komponente einzurichten. Wir werden jedoch das grafische Benutzerprotokoll für diese Demonstration verwenden, da es einfach und schnell implementiert ist.

Zunächst müssen wir die AuthConfig-GTK-Anwendung mit den folgenden Befehlen installieren:

Das Fenster zur Authentifizierungskonfiguration wird nach Abschluss der Konfiguration und Ausführen des obigen Befehls im Terminalfenster angezeigt. Der nächste Schritt besteht darin, das LDAP-Element aus dem Dropdown-Menü Identität und Authentifizierung auszuwählen und Kerberos als Passwort zu geben, das den Informationen zur Realm- und Schlüsselverteilungszentrum entspricht. In diesem Fall 192.168.1.14 ist das Internet -Protokoll.

Wenden Sie diese Modifikationen an, sobald er vorgenommen wurde.

Abschluss

Nach der Installation verfügen Sie über einen vollständig konfigurierten Kerberos und den Client -Server, wenn Sie die obigen Schritte ausführen. Die obige Anleitung führt einen durch den Prozess der Konfiguration von Linux, um sich mit Kerberos zu authentifizieren. Natürlich können Sie dann einen Benutzer erstellen.