分类: LINUX
2008-04-26 18:15:55
现在你已经有一个在运行的Kerberos 5区域了,你的客户端也配置好了,你还需要转换你全部的用户账号,迄今为止,你账号的密码还是保存在本地的/etc/shadow文件或一个NIS/LDAP密码映射中,这些密码使用单向hash函数加密是不可能的,要破解它或转换为Kerberos 5格式,对于那些没有超级计算机的用户来说是不切实际的,一个好的办法是使用pam_krb5_migrate模块来从你现在的位置迁移到Kerberos,这个模块可以在少数计算机上安装,每当有人登陆时,它在你的Kerberos 5 KDC中为该账号创建一个新的委托人,并重复使用该账号当前的密码。
在每个人都登陆到这些指定的机器后,你所有账号就有一个对应的Kerberos 5委托人了,然后你可以在本地的密码文件或你的NIS/LDAP密码映射中用一个占位符(如krb5)替换密码,现在Kerberos PAM模块就可以认证你的用户了,到此为止,你也可以从迁移系统移除pam_krb5_migrate模块了。
支持Kerberos的应用程序
现在你的Kerberos已经处于运行中了,你可以使用利用它的服务了,你应该安装支持Kerberos的telnet和ftp,但是你真正应该使用ssh,你可以使你的Apache web服务器和Mozilla浏览器支持Kerberos;在使用Kerberos之前,你要使用这些服务必须输入密码,使用Kerberos后,这些应用程序都使用存储的Kerberos证书进行内部认证,这就是传说中的单点登陆了。
资源
1、两个可用的Kerberos实现,一个来自MIT: web.mit.edu/kerberos/dist,另外一个叫Heimdal,来自瑞典的KTH: .
2、pam_krb5_migrate: freshmeat.net/projects/pam_krb5_migrate
3、pam_krb5: sourceforge.net/projects/pam-krb5
4、MIT Kerberos 5发布版包括许多好的关于安装、管理和使用Kerberos的文档,最近O'Reilly发行了一般关于Kerberos的书: The Definitive Guide作者Jason Garman (ISBN 0-596-00403-6) 是关于如何创建一个新的区域和如何与其他操作系统一起工作的很好的书籍。
5、与Kerberos客户端一起使用微软的活动目录:
www.microsoft.com/windows2000/techinfo/planning/security/kerbsteps.asp