Chinaunix首页 | 论坛 | 博客

Fosdccf.blog.chinaunix.net

首页 |  博文目录 |  关于我

sdccf

  • 博客访问: 103725642
  • 博文数量: 19283
  • 博客积分: 9968
  • 博客等级: 上将
  • 技术积分: 196062
  • 用 户 组: 普通用户
  • 注册时间: 2007-02-07 14:28
文章分类

全部博文(19283)

文章存档

2011年(1)

2009年(125)

2008年(19094)

2007年(63)

我的朋友
最近访客
推荐博文
相关博文
使用Kerberos5实现统一认证(一)(4)

分类: LINUX

2008-04-26 18:15:02

作者: Alf Wachsmann/黄永兵 译 出处:51CTO.com 
 
 
它在屏幕上打印出类似下面的内容: 

Principal: john/admin@EXAMPLE.COM
Expiration date: [never]
Last password change: Wed Dec 24 09:55:17 PST 2003
Password expiration date: Mon Jun 21 10:55:17 PDT 2004
Maximum ticket life: 1 day 00:00:00
Maximum renewable life: 0 days 00:00:00
Last modified: Wed Dec 24 09:55:17 PST 2003 (root/admin@EXAMPLE.COM)
Last successful authentication: [never]
Last failed authentication: [never]
Failed password attempts: 0
Number of keys: 2
Key: vno 1, Triple DES cbc mode with HMAC/sha1, no salt
Key: vno 1, DES cbc mode with CRC-32, no salt
Attributes:
Policy: default

输入quit退出kadmin.local程序,用下面的命令启动KDC后台服务:
% sudo /usr/local/sbin/krb5kdc
输入下面的目录获取一个Kerberos 5 TGT:
% /usr/local/bin/kinit

用下面的命令查看你的TGT:

% /usr/local/bin/klist
Ticket cache: FILE:/tmp/krb5cc_5828
Default principal: john/admin@EXAMPLE.COM

Valid starting     Expires            Service principal
12/23/03 14:15:39  12/24/03 14:15:39  krbtgt/EXAMPLE.COM@EXAMPLE.COM

祝贺你!你刚好完成你的第一次成功的Kerberos认证。现在你应该给这个管理账号指定权限了,它由文件/usr/local/var/krb5kdc/kadm5.acl中的条目决定。你可以给john/admin授予管理所有委托人的权限,通过添加下面这样一行到/usr/local/var/krb5kdc/kadm5.acl中,并使用通配符实现:
  *

在你能通过网络启动管理后台服务(kadmind)之前,你需要创建一个包含密钥的keytab文件:
kadmin.local:  ktadd -k /usr/local/var/krb5kdc/
↪kadm5.keytab kadmin/changepw

现在为Kerberos管理后台服务的事情都准备好了,可以启动它了:
% sudo /usr/local/sbin/kadmind

这个后台服务允许你使用kadmin客户端工具远程管理你的Kerberos委托人,而不需要登陆到你的KDC,如果你想让你的Kerberos后台服务随系统启动而启动,将它们添加到你KDC中的/etc/rc文件中。

使用前面获取到的Kerberos TGT,启动远程管理工具:

% /usr/local/sbin/kadmin
Authenticating as principal john/admin@EXAMPLE.COM
with password.
Password for john/admin@EXAMPLE.COM:

添加新账号

新账号仍然需要添加到你的shadow文件或你的密码映射中,无论如何,不要将密码放入这些位置,你要创建一个新的Kerberos委托人并将它的密码存储在KDC中。
使用kadmin工具:
% /usr/local/sbin/kadmin

用下面的命令给常规用户添加一个委托人:

kadmin:  addprinc john
NOTICE: no policy specified for john@EXAMPLE.COM; assigning "default"
Enter password for principal "john@EXAMPLE.COM":
Re-enter password for principal "john@EXAMPLE.COM":
Principal "john@EXAMPLE.COM" created.

创建委托人过程中输入的密码在john获取Kerberos TGT时需要或登陆到一个被配置成使用你的Kerberos 5区域的计算机时需要。现在你可以手工给你所有的账号创建委托人或使用下一小节将要介绍的迁移技术。

添加从KDC

如果你计划在你站点上的产品中使用Kerberos,你应该使用额外的从KDC来为你的安装提供故障容错功能。主KDC需要安装一个额外的传播服务,由它来发送KDC数据库版本更新到所有的从KDC服务器,从服务器需要为传播服务安装一个接收终端,请查看MIT文档。

阅读(237) | 评论(0) | 转发(0) |
0

上一篇:使用Kerberos5实现统一认证(一)(3)

下一篇:使用Kerberos5实现统一认证(一)(5)

给主人留下些什么吧!~~
关于我们 | 关于IT168 | 联系方式 | 广告合作 | 法律声明 | 免费注册

Copyright 2001-2010 ChinaUnix.net All Rights Reserved 北京皓辰网域网络信息技术有限公司. 版权所有

感谢所有关心和支持过ChinaUnix的朋友们

16024965号-6