kerberos的安装配置-笑漫翎-ChinaUnix博客

笑漫翎博客

首页　| 　博文目录　| 　关于我

笑漫翎

博客访问： 44452
博文数量： 13
博客积分： 480
博客等级：下士
技术积分： 140
用户组：普通用户
注册时间： 2009-06-07 16:44

文章分类

全部博文（13）

Linux（12）

Oracle（3）

Linux网络配置（0）

Linux防火墙（0）

Linux WEB（0）

Linux TELNET（0）

Linux SSH（0）

Linux SAMBA（0）

Linux NIS（0）

Linux NFS（0）

Linux LDAP（0）

Linux FTP（0）

Linux DNS（0）

Linux DHCP（0）

Linux系统安装（0）

Linux GRUB（0）

Linux基本设置（0）

LINUX与WINDOWS（0）

Linux未整理（0）

Linux源代码（0）

Linux问与答（0）

Linux心得体会（2）

Linux命令使用（4）

Linux SHELL（0）

Linux虚拟化（0）

Linux设备/驱动（0）

Linux认证/考试（0）

Linux数据库管理（0）

Linux权限管理（0）

Linux文件磁盘管（0）

Linux内核（0）

Linux安全管理（3）

Linux服务配置（0）

Linux进程管理（0）

Linux基础入门（0）
未分配的博文（1）

文章存档

2011年（1）

2009年（12）

我的朋友

最近访客

推荐博文

kerberos的安装配置

分类：

2009-06-10 12:19:40

kerberos是由MIT开发的提供网络认证服务的系统，很早就听说过它的大名，但一直没有使用过它。它可用来为网络上的各种server提供认证服务,使得口令不再是以明文方式在网络上传输，并且联接之间通讯是加密的；它和PKI认证的原理不一样，PKI使用公钥体制(不对称密码体制)，kerberos基于私钥体制(对称密码体制)。

??本篇文章不打算详细讲解kerberos的工作原理，而是侧重介绍在redhat8.0环境下如何使用kerberos自己提供的Ktelnetd，Krlogind，Krshd来替代传统的telnetd，rlogind，rshd服务，有关kerberos工作的原理可以参考《Kerberos:AN Authentication Services for Computer Networks》。

安装环境：一台i386机器。
安装包：krb5-server-1.2.5-6，krb5-workstation-1.2.5-6，krb5-libs-1.2.5-6
rpm -ivh krb5-libs-1.2.5-6.i386.rpm
rpm -ivh krb5-server-1.2.5-6.i386.rpm
rpm -ivh krb5-workstation-1.2.5-6.i386.rpm

??上述要求满足后，我们就可以先配KDC服务器，然后再配Ktelnetd，Krlogind,Krsh服务器，最后就可以使用krb5-workstation提供的telnet，rlogin，rsh来登录这些服务了。下面是安装步骤：

1、生成kerberos的本地数据库

kdb5_util create -r EXAMPLE.COM -s
这个命令用来生成kerberos的本地数据库，包括几个文件：principal，principal.OK，principal.kadm5，principal.kadm5.lock. -r 指定realm(kerberos术语)，我们随便取一个叫EXAMPLE.COM.

2、生成账号

kerberos用principal(kerberos术语)来表示realm下的一个帐户，表示为primary/instance@realm，举个例子就是username/9.181.92.90@EXAMPLE.COM,这里假设9.181.92.90是你机器的ip地址.

在数据库中加入管理员帐户：
/usr/kerberos/sbin/kadmin.local
kadmin.local: addprinc admin/admin@EXAMPLE.COM
在数据库中加入用户的帐号：
kadmin.local: addprinc username/9.181.92.90@EXAMPLE.COM
在数据库中加入Ktelnetd，Krlogind，Krshd公用的帐号：
kadmin.local: addprinc -randkey host/9.181.92.90@EXAMPLE.COM

3、检查/var/kerberos/krb5kdc/kadm5.keytab是否有下列语句：

*/admin@EXAMPLE.COM *
若没有，那么就添上。

4、修改/etc/krb5.conf文件，修改所有的realm为EXAMPLE.COM,并且加入下列句子

kdc = 9.181.92.90:88
admin_server = 9.181.92.90:749

5、在/etc/krb.conf中加入下列语句：

EXAMPLE.COM
EXAMPLE.COM 9.181.92.90:88
EXAMPLE.COM 9.181.92.90:749 admin server

6、启动kdc服务器和Ktelnetd，Krlogind，Krshd

/etc/init.d/krb5kdc restart
chkconfig klogin on
chkconfig kshell on
chkconfig eklogin on
chkconfig krb5-telnet on
/etc/init.d/xinetd restart

7、制作本地缓存

将username/9.181.92.90@EXAMPLE.COM的credentials(kerberos术语)取到本地做为cache，这样以后就可以不用重复输入password了。

kinit username/9.181.92.90
如果顺利的话，在/tmp下面会生成文件krb5*；这步如果不通，那么就必须检查以上步骤是否有漏。

可以用klist命令来查看credential。

8、导出用户密匙

export host/9.181.92.90@EXAMPLE.COM的key到/etc/krb5.keytab，Ktelnetd、Krlogind和Krshd需要/etc/krb5.keytab来验证username/9.181.92.90的身份。
kadmin.local: ktadd -k /etc/krb5.keytab host/9.181.92.90

9、修改~/.k5login文件

在其中加入username/9.181.92.90@EXAMPLE.COM，表示允许username/9.181.92.90@EXAMPLE.COM登录该帐户

cat username/9.181.92.90@EXAMPLE.COM >>~/.k5login

10、测试kerberos客户端

krsh 9.181.92.90 -k EXAMPLE.COM ls
krlogin 9.181.92.90 -k EXAMPLE.COM
rlogin 9.181.92.90 -k EXAMPLE.COM
rsh 9.181.92.90 -k EXAMPLE.COM
telnet -x 9.181.92.90 -k EXAMPLE.COM

阅读(539) | 评论(0) | 转发(0) |

上一篇：安全方案应用一：FC6下OpenLDAP+SASL+Kerberos配置说明

下一篇：kerberos的安装配置

给主人留下些什么吧！~~

感谢所有关心和支持过ChinaUnix的朋友们

16024965号-6