KDC 端口和管理服务端口
第21 章• 规划Kerberos 服务359
从KDC 数
与主KDC 一样,从KDC 也会为客户机生成凭证。如果主KDC 不可用,则从KDC 将提供备
份。每个领域应至少有一个从KDC。可能会需要其他从KDC,这取决于以下因素:
� 领域中的物理段的个数。通常,应将网络设置为至少每个段都可以独立于领域的其他部
分而单独工作。为此,必须能够从每个段访问KDC。此实例中的KDC 可以是主KDC 或
从KDC。
� 领域中的客户机数。通过添加更多从KDC 服务器,可以减少当前服务器的负荷。
可能会添加太多从KDC。请记住,必须将KDC 数据库传播到每台服务器,因此安装的
KDC 服务器越多,更新领域中的数据所用的时间就越长。此外,因为每个从KDC 都会保存
一份KDC 数据库的副本,所以较多的从KDC 会增加破坏安全性的风险。
另外,可以很容易地将一个或多个从KDC 配置为与主KDC 交换。采用这种方式配置至少
一个从KDC 的优点是:如果主KDC 由于任何原因出现故障,则可以使用很容易交换为主
KDC 的预配置系统。有关如何配置可交换的从KDC 的说明,请参见第405 页中的“交换主
KDC 和从KDC”。
将GSS 凭证映射到UNIX 凭证
对于需要GSS 凭证名称到UNIX 用户ID (user ID, UID) 的映射的GSS 应用程序(例如
NFS),Kerberos 服务提供了该缺省映射。使用Kerberos 服务时,GSS 凭证名称相当于
Kerberos 主体名称。缺省映射算法是采用具有一个组成部分的Kerberos 主体名称,并使用
该组成部分(即主体的主名称)来查找UID。可以使用/etc/krb5/krb5.conf 中的
auth_to_local_realm 参数在缺省领域或允许的任何领域中进行查找。例如,可以使用口令
表将用户主体名称 映射到名为bob 的UNIX 用户的UID。但不会映射用户
主体名称,因为该主体名称包括admin 的实例部分。如果用户凭证
的缺省映射满足要求,则无需填充GSS 凭证表。在先前的发行版中,需要填充GSS 凭证表
才能使NFS 服务工作。如果缺省映射不满足要求(例如,如果要映射包含实例部分的主体
名称),应使用其他方法。有关更多信息,请参见:
� 第384 页中的“如何创建凭证表”
� 第384 页中的“如何向凭证表中添加单个项”
� 第385 页中的“如何提供各领域之间的凭证映射”
� 第443 页中的“观察从GSS 凭证到UNIX 凭证的映射”
自动将用户迁移到Kerberos 领域
可以使用PAM框架自动迁移在缺省Kerberos 领域中没有有效用户帐户的UNIX 用户。具体
而言,将在PAM服务的验证栈中使用pam_krb5_migrate 模块。该模块将对服务进行设置,
以便每当没有Kerberos 主体的用户使用其口令成功登录系统时,便会自动为该用户创建
Kerberos 主体。新的主体将使用相同的口令。有关如何使用pam_krb5_migrate 模块的说
明,请参见第401 页中的“在Kerberos 领域中配置用户自动迁移”。
从KDC 数
360 系统管理指南:安全性服务• 2006 年9 月
要使用的数据库传播系统
存储在主KDC 上的数据库必须定期传播到从KDC。可以将数据库的传播配置为增量。增量
过程只将更新的信息传播到从KDC,而不是整个数据库。有关数据库传播的更多信息,请
参见第412 页中的“管理Kerberos 数据库”。
如果不使用增量传播,则要解决的首要问题之一是确定更新从KDC 的频率。需要获取所有
客户机可用的最新信息时,必须权衡完成更新所需的时间。
在一个领域中有许多KDC 的大型安装中,一个或多个从KDC 可以传播数据,以便以并行
方式完成该过程。此策略减少了更新所用的时间,但同时增加了管理领域的复杂性。有关
此策略的完整说明,请参见第426 页中的“设置并行传播”。
领域内的时钟同步
所有参与Kerberos 验证系统的主机都必须在指定的最长时间内同步其内部时钟。称为时钟
相位差的此功能提供了另一种Kerberos 安全检查方法。如果任意两台参与主机之间的时间
偏差超过了时钟相位差,则请求会被拒绝。
一种同步所有时钟的方法是使用网络时间协议(Network Time Protocol, NTP) 软件。有关更多
信息,请参见第404 页中的“同步KDC 和Kerberos 客户机的时钟”。还存在其他同步时钟
的方法,因此并非一定要使用NTP。但是,由于存在时钟相位差,所以应使用某种形式的
同步来防止访问失败。
客户机安装选项
Solaris 10 发行版中的一个新功能是kclient 安装实用程序。该实用程序可以交互模式或非交
互模式运行。在交互模式下,将提示用户输入特定于Kerberos 的参数值,从而允许用户在
安装客户机时更改现有安装。在非交互模式下,将使用先前设置了参数值的文件。此外,
可以在非交互模式下使用命令行选项。交互模式和非交互模式所需的步骤都比手动过程所
需的步骤少,因此该过程可以更快完成并且不容易出错。有关所有客户机安装过程的说
明,请参见第388 页中的“配置Kerberos 客户机”。
Kerberos 加密类型
加密类型是指定Kerberos 服务中使用的加密算法、加密模式和散列算法的标识符。Kerberos
服务中的密钥具有关联的加密类型,用于标识服务使用该密钥执行加密操作时要使用的加
密算法和模式。以下是Solaris 10 发行版中支持的加密类型:
� des-cbc-md5
� des-cbc-crc
� des3-cbc-sha1
� arcfour-hmac-md5
Kerberos 加密类型
第21 章• 规划Kerberos 服务361
� arcfour-hmac-md5-exp
� aes128-cts-hmac-sha1-96
注– 此外,如果安装了非捆绑强加密软件包,则可以将aes256-cts-hmac-sha1-96 加密类型
用于Kerberos 服务。
如果要更改加密类型,则应在创建新的主体数据库时进行更改。由于KDC 服务器与KDC
客户机之间存在交互,所以在现有数据库上更改加密类型很困难。除非您要重新创建数据
库,否则不要设置这些参数。有关更多信息,请参阅第512 页中的“使用Kerberos 加密类
型”。
注– 如果安装了未运行Solaris 10 发行版的主KDC,则在升级主KDC之前,必须将从KDC
升级到Solaris 10 发行版。Solaris 10 主KDC 将使用新的加密类型,而较早版本的从KDC 将
无法处理这些加密类型。
SEAMAdministration Tool 中的联机帮助URL
SEAMAdministration Tool 将使用联机帮助URL,因此应正确定义该URL,以使“帮助内
容“菜单正常工作。可以在任何合适的服务器上安装本手册的HTML版本。或者,可以决定
使用 中的文档集。
该URL是在配置主机以使用Kerberos 服务时在krb5.conf 文件中指定的。该URL应指向本书
的“管理主体和策略(任务)”章中标题为"SEAMAdministration Tool" 的一节。如果存在更适
合的位置,可以选择另一个HTML页面。
SEAMAdministration Tool 中的联机帮助URL
362 系统管理指南:安全性服务• 2006 年9 月
配置Kerberos 服务(任务)
本章介绍KDC 服务器、网络应用程序服务器、NFS 服务器和Kerberos 客户机的配置过程。
其中许多过程都要求超级用户访问权限,因此这些过程应由系统管理员或高级用户来执
行。本章还将介绍跨领域配置过程以及与KDC 服务器相关的其他主题。
本章包含以下主题:
� 第363 页中的“配置Kerberos 服务(任务列表)”
� 第364 页中的“配置KDC 服务器”
� 第377 页中的“配置跨领域验证”
� 第380 页中的“配置Kerberos 网络应用程序服务器”
� 第382 页中的“配置Kerberos NFS 服务器”
� 第388 页中的“配置Kerberos 客户机”
� 第404 页中的“同步KDC 和Kerberos 客户机的时钟”
� 第405 页中的“交换主KDC 和从KDC”
� 第412 页中的“管理Kerberos 数据库”
� 第428 页中的“增强Kerberos 服务器的安全性”
配置Kerberos 服务(任务列表)
部分配置过程依赖于其他配置过程,且必须按特定顺序执行。这些过程通常会建立使用
Kerberos 服务所需的服务。其他过程不依赖于任何顺序,且可以在适当的情况下执行。以
下任务列表给出了Kerberos 安装的建议顺序。
任务说明参考
1. 规划Kerberos 安装。在开始软件配置过程之前先解决配置问题。从长
远来看,提前规划可以节省时间和其他资源。
第21 章
22 第2 2 章
363
任务说明参考
2. (可选)安装NTP。配置网络时间协议(Network Time Protocol, NTP) 软
件或其他时钟同步协议。要使Kerberos 服务正常
工作,必须同步领域中所有系统的时钟。
第404 页中的“同步KDC 和
Kerberos 客户机的时钟”
3. 配置主KDC 服务器。配置并构建领域的主KDC 服务器和数据库。第365 页中的“如何配置主KDC”
4. 配置从KDC 服务器。配置并构建领域的从KDC 服务器。第372 页中的“如何配置从KDC”
5. (可选)增强KDC 服务器的
安全性。
阻止对KDC 服务器的安全性破坏。第428 页中的“如何限制对KDC 服
务器的访问”
6. (可选)配置可交换的KDC
服务器。
使交换主KDC 和从KDC 的任务更容易执行。第405 页中的“如何配置可交换的
从KDC”
配置其他Kerberos 服务(任务列表)
完成所需步骤之后,可以在适当的情况下执行以下过程。
任务说明参考
配置跨领域验证。启用领域之间的通信。第377 页中的“配置跨领域验证”
配置Kerberos 应用程序服务器。使服务器支持使用Kerberos 验证的服务,例如
ftp、telnet 和rsh。
第380 页中的“配置Kerberos 网络
应用程序服务器”
配置Kerberos 客户机。使客户机使用Kerberos 服务。第388 页中的“配置Kerberos 客户
机”
配置Kerberos NFS 服务器。使服务器共享要求Kerberos 验证的文件系统。第382 页中的“配置Kerberos NFS
服务器”
增强应用程序服务器的安全性。通过只允许访问经过验证的事务来增强应用程序
服务器的安全性。
第428 页中的“如何仅启用基于
Kerberos 的应用程序”
配置KDC 服务器
安装Kerberos 软件后,必须配置KDC 服务器。配置一个主KDC 和至少一个从KDC 以提供
颁发凭证的服务。这些凭证是Kerberos 服务的基础,因此在尝试其他任务之前必须安装
KDC。
主KDC 和从KDC 之间的最大差别是,只有主KDC 可以处理数据库管理请求。例如,更改
口令或添加新的主体必须在主KDC 上完成。然后可以将这些更改传播到从KDC。从KDC
和主KDC 都可生成凭证。此功能可在主KDC 无法响应时提供冗余性。
配置其他Kerberos 服务(任务列表)
364 系统管理指南:安全性服务• 2006 年9 月
� 如何配置主KDC
在此过程中,将配置增量传播。此外,还将使用以下配置参数:
� 领域名称= EXAMPLE.COM
� DNS 域名= example.com
� 主KDC = kdc1.example.com
� admin 主体= kws/admin
� 联机帮助URL=
注– 调整该URL以指向“SEAMAdministration Tool”部分,如第362 页中的“SEAM
Administration Tool 中的联机帮助URL”中所述。
此过程要求DNS 必须正在运行。有关此主KDC 是否可交换的特定命名说明,请参见第405
页中的“交换主KDC 和从KDC”。
成为主KDC 的超级用户。
编辑Kerberos 配置文件(krb5.conf)。
需要更改领域名称和服务器名称。有关此文件的完整说明,请参见krb5.conf(4) 手册页。
kdc1 # cat /etc/krb5/krb5.conf
[libdefaults]
default_realm = EXAMPLE.COM
[realms]
EXAMPLE.COM = {
kdc = kdc1.example.com
admin_server = kdc1.example.com
}
[domain_realm]
开始之前
阅读(514) | 评论(0) | 转发(0) |
