Verwenden Sie den Kerberos -Service unter Linux

Ahmed Stöckert
Verwenden Sie den Kerberos -Service unter Linux
Einer der herausforderndsten Schritte für Datenadministratoren ist der gesamte Prozess der Aufrechterhaltung der Sicherheit und Integrität Ihrer Systeme. Der kritische Prozess beinhaltet die Verantwortung für das, was jeder Benutzer tut. Es beinhaltet auch ein detailliertes Verständnis und die Kontrolle über alles, was mit jeder Anwendung, jedem Server und jedem Dienst in Ihrer Netzwerkinfrastruktur passiert.

Kerberos bleibt eines der sichersten Authentifizierungsprotokolle in Linux -Umgebungen. Sie werden später herausfinden, dass Kerberos auch für Verschlüsselungszwecke nützlich ist.

In diesem Artikel wird erläutert, wie der Kerberos -Dienst unter Linux -Betriebssystem implementiert wird. Der Leitfaden führt Sie durch die obligatorischen Schritte, die sicherstellen, dass der Kerberos -Service auf einem Linux -System erfolgreich ist.

Verwenden Sie den Kerberos -Service unter Linux: eine Übersicht

Die Essenz der Authentifizierung besteht darin, einen zuverlässigen Prozess zu ermöglichen, um sicherzustellen, dass Sie alle Benutzer in Ihrer Workstation identifizieren. Es hilft auch zu steuern, auf die Benutzer zugreifen können. Dieser Vorgang ist in offenen Netzwerkumgebungen ziemlich schwierig, es sei denn.

In gewöhnlichen Fällen müssen Benutzer jedoch Kennwörter für den Zugriff auf jeden Dienst oder die Anwendung eingeben. Dieser Prozess kann hektisch sein. Auch hier ist die Verwendung von Passwörtern jedes Mal ein Rezept für Kennwortleckage oder Anfälligkeit für Cyberkriminalität. Kerberos ist in diesen Fällen nützlich.

Mit Kerberos kann der Adminos auch nicht nur ermöglicht, sich nur einmal zu registrieren und auf alle Anwendungen zugreifen zu können. Im Idealfall zielt die Verwendung des Kerberos Linux erfolgreich darauf ab, die folgenden zu beheben

  • Stellen Sie sicher, dass jeder Benutzer seine eindeutige Identität hat und kein Benutzer die Identität eines anderen nimmt.
  • Stellen Sie sicher, dass jeder Server seine eindeutige Identität hat und beweist, dass dies beweist. Diese Anforderung verhindert die Möglichkeit, dass Angreifer sich einschleichen, um sich als Server auszugeben.

Schritt -für -Schritt -Anleitung zur Verwendung von Kerberos unter Linux

Die folgenden Schritte helfen Ihnen dabei, Kerberos erfolgreich in Linux zu verwenden:

Schritt 1: Bestätigen Sie, ob KBR5 in Ihrem Computer installiert ist

Überprüfen Sie, ob Sie die neueste Kerberos -Version mit dem folgenden Befehl installiert haben. Wenn Sie es nicht haben, können Sie KBR5 herunterladen und installieren. Wir haben den Installationsprozess bereits in einem anderen Artikel besprochen.

Schritt 2: Erstellen Sie einen Suchpfad

Sie müssen einen Suchpfad erstellen, indem Sie hinzufügen /usr/kerberos/bin und/usr/kerberos/sbin zum Suchpfad.

Schritt 3: Richten Sie Ihren Reichnamen ein

Ihr richtiger Name sollte Ihr DNS -Domain -Name sein. Dieser Befehl ist:

Sie müssen die Ergebnisse dieses Befehls so ändern, dass Sie Ihre Realm -Umgebung entsprechen.

Schritt 4: Erstellen und starten Sie Ihre KDC -Datenbank für den Auftraggeber

Erstellen Sie ein Schlüsselverteilungszentrum für die Hauptdatenbank. Dies ist natürlich auch der Punkt, an dem Sie Ihr Master -Passwort für die Operationen erstellen müssen. Dieser Befehl ist notwendig:

Nach dem Erstellen können Sie den KDC mit dem folgenden Befehl starten:

Schritt 5: Richten Sie einen persönlichen Kerberos -Schulleiter ein

Es ist Zeit, einen KBR5 -Schulleiter für Sie einzurichten. Es sollte über administrative Berechtigungen verfügen, da Sie die Berechtigungen benötigen, um das System zu verwalten, zu steuern und auszuführen. Sie müssen auch einen Host -Direktor für den Host KDC erstellen. Die Eingabeaufforderung für diesen Befehl lautet:

# Kadmind [-M]

An diesem Punkt müssen Sie möglicherweise Ihre Kerberos konfigurieren. Gehen Sie zur Standarddomäne in der Datei “/etc/krb5.Konfiguration ”und geben Sie die folgenden Deafault_Realm = ist ein.UTL.Pt. Das Reich sollte auch mit dem Domainnamen übereinstimmen. In diesem Fall Kenhint.Com ist die Domänenkonfiguration, die für den Domänendienst im primären Master erforderlich ist.

Nach Abschluss der oben genannten Prozesse wird ein Fenster angezeigt, in dem die Zusammenfassung des Status der Netzwerkressourcen bis zu diesem Punkt erfasst wird, wie unten gezeigt:

Es wird empfohlen, dass Netzwerk Benutzer validieren. In diesem Fall haben wir Kenhint sollten eine UID in einem höheren Bereich haben als lokale Benutzer.

Schritt 6: Verwenden Sie den Befehl kerberos kinit linux, um den neuen Principal zu testen

Das Kinit -Versorgungsunternehmen wird verwendet, um den neuen Principal zu testen, der wie unten erfasst erstellt wurde:

Schritt 7: Kontakt erstellen

Kontakt zu erstellen ist ein unglaublich wichtiger Schritt. Führen Sie sowohl den Ticket-Granting-Server als auch den Authentifizierungsserver aus. Der Ticket-Granting-Server befindet. Reduzieren Sie alle Netzwerkdienste auf die wenigsten möglichen. Sie sollten den SSHD -Service nicht einmal ausführen.

Wie bei jedem Anmeldungsprozess wird Ihre erste Interaktion mit KBR5 in bestimmte Details einteilen. Sobald Sie Ihren Benutzernamen eingegeben haben, sendet das System die Informationen an den Linux Kerberos Authentication Server. Sobald der Authentifizierungsserver Sie identifiziert hat, generiert er eine zufällige Sitzung für die fortgesetzte Korrespondenz zwischen dem Ticket-Granting-Server und Ihrem Client.

Das Ticket enthält normalerweise die folgenden Details:

Namen sowohl des Ticket-Granting-Servers als auch des Clients

  • Ticketlebensdauer
  • Aktuelle Uhrzeit
  • Der Schlüssel der neuen Generation
  • Die IP -Adresse des Clients

Schritt 8: Testen Sie mit dem Befehl kinit kerberos, um Benutzeranmeldeinformationen zu erhalten

Während des Installationsprozesses wird die Standarddomäne auf IST eingestellt.UTL. PT durch das Installationspaket. Danach können Sie ein Ticket mit dem im Bild unten erfassten Kinit -Befehl erhalten:

Im obigen Screenshot bezieht sich Istkenhint auf die Benutzer -ID. Diese Benutzer -ID wird auch ein Kennwort zum Überprüfen geliefert, ob ein gültiges Kerberos -Ticket vorliegt. Der Befehl kinit wird verwendet, um die im Netzwerk vorhandenen Tickets und Anmeldeinformationen anzuzeigen oder abzurufen.

Nach der Installation können Sie diesen Standard -Kinit -Befehl verwenden, um ein Ticket zu erhalten, wenn Sie keine benutzerdefinierte Domain haben. Sie können auch eine Domäne insgesamt anpassen.

In diesem Fall ist die Istkenhint die entsprechende Netzwerk -ID.

Schritt 9: Testen Sie das Administratorsystem mit dem zuvor erhaltenen Kennwort

Die Dokumentationsergebnisse sind nachstehend nach einem erfolgreichen Lauf des obigen Befehls dargestellt:

Schritt 10: Starten Sie das Neu Kadmin Service

Starten Sie den Server mit dem neu starten # Kadmind [-M] Der Befehl gibt Ihnen Zugriff auf die Kontrollliste der Benutzer in der Liste.

Schritt 11: Überwachen Sie, wie Ihr System ausgeführt wird

Der folgende Screenshot unterstreicht die angegebenen Befehle in/etc/named/db.Kenhint.COM, um Clients bei der automatischen Bestimmung des Schlüsselverteilungszentrums für die Bereiche mithilfe der DNS SRV -Elemente zu unterstützen.

Schritt 12: Verwenden Sie den Befehl kList, um Ihr Ticket und Ihre Anmeldeinformationen zu untersuchen

Nach der Eingabe des richtigen Kennworts zeigt das KLIST -Dienstprogramm die folgenden Informationen im Status des Kerberos -Dienstes an, der im Linux -System ausgeführt wird, wie im folgenden Screenshot gezeigt:

Der Cache -Ordner KRB5CC_001 enthält die Bezeichnung KRB5CC_ und Benutzeridentifikation, wie in den früheren Screenshots angegeben. Sie können die Datei /etc /host einen Eintrag für den KDC -Client hinzufügen, um die Identität mit dem Server wie unten angegeben festzulegen:

Abschluss

Nach Abschluss der obigen Schritte sind die vom Kerberos -Server initiierten Kerberos -Bereich und -Dienste bereit und läuft auf dem Linux -System aus. Sie können Ihre Kerberos weiterhin verwenden, um andere Benutzer zu authentifizieren und Benutzerrechte zu bearbeiten.

Debian
So konfigurieren Sie den Apache -Webserver auf Debian
So konfigurieren Sie den Apache -Webserver auf Debian, installieren Sie und richten Sie den Apache -...
Jessica Schimmer
C ++
Was ist StDarray in C++?
StDarray ist ein Container, der für eine feste Anzahl der gleichen Datentypelemente verwendet wird. ...
Ansgar Radtke
Windows OS
[Behoben] Kopfhörer, die nicht in Wiedergabegeräten unter Windows Top 10 angezeigt werden
Um Kopfhörer zu reparieren, die nicht im Wiedergabemproblem angezeigt werden, zeigen und aktivieren ...
Ahmed Stöckert
Python
Pandas explodieren mehrere Spalten
Jessica Schimmer
Python
Python schreiben String in Datei
Frederik Rodehau
Zwangsversteigerung
Salesforce Data Loader
Mohamed Flore
Linux -Befehle
So lassen Sie die Version von CUDA unter Linux installiert
Fr. Chris Frisch
html
Wie kann Flexbox verwendet werden, um eine Navigationsleiste zu erstellen??
Arved Riermeier
Power Shell
So verwenden Sie Get-Adprincipalgroupmitglieder in Powershell
Ahmed Stöckert
Oracle -Datenbank
Wie man Oracle -Sequenz zwischendurchschnittlich ist, um die Ressourcen des Datenwörterbuchs zu verbessern?
Christopher Lammert
Power Shell
Was ist ein Add-Computer in PowerShell?
Frederik Rodehau
Zwangsversteigerung
Salesforce Apex - Auslöser
Lars Daub
Debian
So wechseln Sie von Standard zu einer alternativen Python -Version auf Debian
Kaya Wyludda