Kerberos bleibt eines der sichersten Authentifizierungsprotokolle in Linux -Umgebungen. Sie werden später herausfinden, dass Kerberos auch für Verschlüsselungszwecke nützlich ist.
In diesem Artikel wird erläutert, wie der Kerberos -Dienst unter Linux -Betriebssystem implementiert wird. Der Leitfaden führt Sie durch die obligatorischen Schritte, die sicherstellen, dass der Kerberos -Service auf einem Linux -System erfolgreich ist.
Verwenden Sie den Kerberos -Service unter Linux: eine Übersicht
Die Essenz der Authentifizierung besteht darin, einen zuverlässigen Prozess zu ermöglichen, um sicherzustellen, dass Sie alle Benutzer in Ihrer Workstation identifizieren. Es hilft auch zu steuern, auf die Benutzer zugreifen können. Dieser Vorgang ist in offenen Netzwerkumgebungen ziemlich schwierig, es sei denn.
In gewöhnlichen Fällen müssen Benutzer jedoch Kennwörter für den Zugriff auf jeden Dienst oder die Anwendung eingeben. Dieser Prozess kann hektisch sein. Auch hier ist die Verwendung von Passwörtern jedes Mal ein Rezept für Kennwortleckage oder Anfälligkeit für Cyberkriminalität. Kerberos ist in diesen Fällen nützlich.
Mit Kerberos kann der Adminos auch nicht nur ermöglicht, sich nur einmal zu registrieren und auf alle Anwendungen zugreifen zu können. Im Idealfall zielt die Verwendung des Kerberos Linux erfolgreich darauf ab, die folgenden zu beheben
Schritt -für -Schritt -Anleitung zur Verwendung von Kerberos unter Linux
Die folgenden Schritte helfen Ihnen dabei, Kerberos erfolgreich in Linux zu verwenden:
Schritt 1: Bestätigen Sie, ob KBR5 in Ihrem Computer installiert ist
Überprüfen Sie, ob Sie die neueste Kerberos -Version mit dem folgenden Befehl installiert haben. Wenn Sie es nicht haben, können Sie KBR5 herunterladen und installieren. Wir haben den Installationsprozess bereits in einem anderen Artikel besprochen.
Schritt 2: Erstellen Sie einen Suchpfad
Sie müssen einen Suchpfad erstellen, indem Sie hinzufügen /usr/kerberos/bin und/usr/kerberos/sbin zum Suchpfad.
Schritt 3: Richten Sie Ihren Reichnamen ein
Ihr richtiger Name sollte Ihr DNS -Domain -Name sein. Dieser Befehl ist:
Sie müssen die Ergebnisse dieses Befehls so ändern, dass Sie Ihre Realm -Umgebung entsprechen.
Schritt 4: Erstellen und starten Sie Ihre KDC -Datenbank für den Auftraggeber
Erstellen Sie ein Schlüsselverteilungszentrum für die Hauptdatenbank. Dies ist natürlich auch der Punkt, an dem Sie Ihr Master -Passwort für die Operationen erstellen müssen. Dieser Befehl ist notwendig:
Nach dem Erstellen können Sie den KDC mit dem folgenden Befehl starten:
Schritt 5: Richten Sie einen persönlichen Kerberos -Schulleiter ein
Es ist Zeit, einen KBR5 -Schulleiter für Sie einzurichten. Es sollte über administrative Berechtigungen verfügen, da Sie die Berechtigungen benötigen, um das System zu verwalten, zu steuern und auszuführen. Sie müssen auch einen Host -Direktor für den Host KDC erstellen. Die Eingabeaufforderung für diesen Befehl lautet:
# Kadmind [-M]
An diesem Punkt müssen Sie möglicherweise Ihre Kerberos konfigurieren. Gehen Sie zur Standarddomäne in der Datei “/etc/krb5.Konfiguration ”und geben Sie die folgenden Deafault_Realm = ist ein.UTL.Pt. Das Reich sollte auch mit dem Domainnamen übereinstimmen. In diesem Fall Kenhint.Com ist die Domänenkonfiguration, die für den Domänendienst im primären Master erforderlich ist.
Nach Abschluss der oben genannten Prozesse wird ein Fenster angezeigt, in dem die Zusammenfassung des Status der Netzwerkressourcen bis zu diesem Punkt erfasst wird, wie unten gezeigt:
Es wird empfohlen, dass Netzwerk Benutzer validieren. In diesem Fall haben wir Kenhint sollten eine UID in einem höheren Bereich haben als lokale Benutzer.
Schritt 6: Verwenden Sie den Befehl kerberos kinit linux, um den neuen Principal zu testen
Das Kinit -Versorgungsunternehmen wird verwendet, um den neuen Principal zu testen, der wie unten erfasst erstellt wurde:
Schritt 7: Kontakt erstellen
Kontakt zu erstellen ist ein unglaublich wichtiger Schritt. Führen Sie sowohl den Ticket-Granting-Server als auch den Authentifizierungsserver aus. Der Ticket-Granting-Server befindet. Reduzieren Sie alle Netzwerkdienste auf die wenigsten möglichen. Sie sollten den SSHD -Service nicht einmal ausführen.
Wie bei jedem Anmeldungsprozess wird Ihre erste Interaktion mit KBR5 in bestimmte Details einteilen. Sobald Sie Ihren Benutzernamen eingegeben haben, sendet das System die Informationen an den Linux Kerberos Authentication Server. Sobald der Authentifizierungsserver Sie identifiziert hat, generiert er eine zufällige Sitzung für die fortgesetzte Korrespondenz zwischen dem Ticket-Granting-Server und Ihrem Client.
Das Ticket enthält normalerweise die folgenden Details:
Namen sowohl des Ticket-Granting-Servers als auch des Clients
Schritt 8: Testen Sie mit dem Befehl kinit kerberos, um Benutzeranmeldeinformationen zu erhalten
Während des Installationsprozesses wird die Standarddomäne auf IST eingestellt.UTL. PT durch das Installationspaket. Danach können Sie ein Ticket mit dem im Bild unten erfassten Kinit -Befehl erhalten:
Im obigen Screenshot bezieht sich Istkenhint auf die Benutzer -ID. Diese Benutzer -ID wird auch ein Kennwort zum Überprüfen geliefert, ob ein gültiges Kerberos -Ticket vorliegt. Der Befehl kinit wird verwendet, um die im Netzwerk vorhandenen Tickets und Anmeldeinformationen anzuzeigen oder abzurufen.
Nach der Installation können Sie diesen Standard -Kinit -Befehl verwenden, um ein Ticket zu erhalten, wenn Sie keine benutzerdefinierte Domain haben. Sie können auch eine Domäne insgesamt anpassen.
In diesem Fall ist die Istkenhint die entsprechende Netzwerk -ID.
Schritt 9: Testen Sie das Administratorsystem mit dem zuvor erhaltenen Kennwort
Die Dokumentationsergebnisse sind nachstehend nach einem erfolgreichen Lauf des obigen Befehls dargestellt:
Schritt 10: Starten Sie das Neu Kadmin Service
Starten Sie den Server mit dem neu starten # Kadmind [-M] Der Befehl gibt Ihnen Zugriff auf die Kontrollliste der Benutzer in der Liste.
Schritt 11: Überwachen Sie, wie Ihr System ausgeführt wird
Der folgende Screenshot unterstreicht die angegebenen Befehle in/etc/named/db.Kenhint.COM, um Clients bei der automatischen Bestimmung des Schlüsselverteilungszentrums für die Bereiche mithilfe der DNS SRV -Elemente zu unterstützen.
Schritt 12: Verwenden Sie den Befehl kList, um Ihr Ticket und Ihre Anmeldeinformationen zu untersuchen
Nach der Eingabe des richtigen Kennworts zeigt das KLIST -Dienstprogramm die folgenden Informationen im Status des Kerberos -Dienstes an, der im Linux -System ausgeführt wird, wie im folgenden Screenshot gezeigt:
Der Cache -Ordner KRB5CC_001 enthält die Bezeichnung KRB5CC_ und Benutzeridentifikation, wie in den früheren Screenshots angegeben. Sie können die Datei /etc /host einen Eintrag für den KDC -Client hinzufügen, um die Identität mit dem Server wie unten angegeben festzulegen:
Abschluss
Nach Abschluss der obigen Schritte sind die vom Kerberos -Server initiierten Kerberos -Bereich und -Dienste bereit und läuft auf dem Linux -System aus. Sie können Ihre Kerberos weiterhin verwenden, um andere Benutzer zu authentifizieren und Benutzerrechte zu bearbeiten.