1、安装
方式一:【手动编译安装】
# 1. 下载界面
https://web.mit.edu/kerberos/dist/index.html
# 2. 选择下载版本,如:1.17
https://web.mit.edu/kerberos/dist/krb5/1.17/krb5-1.17.tar.gz
# 3. 解压
tar zxvf krb5-1.17.tar.gz
# 3. 编译
cd krb5-1.17/src
./configure
make
make install
方式二:【直接安装】
yum install krb5\* -y
# or
yum install krb5-server krb5-libs krb5-auth-dialog
2、/etc/krb5.conf 配置文件
# cat /etc/krb5.conf
[logging]
default = FILE:/var/log/krb5libs.log
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmind.log
[libdefaults]
default_realm = EXAMPLE.COM
dns_lookup_realm = false
dns_lookup_kdc = false
ticket_lifetime = 24h
renew_lifetime = 7d
forwardable = true
[realms]
EXAMPLE.COM = {
kdc = kerberos.example.com
admin_server = kerberos.example.com
}
[domain_realm]
example.com = EXAMPLE.COM
.example.com = EXAMPLE.COM
[kdc]
profile = /var/kerberos/krb5kdc/kdc.conf
[logging]中的是指定日志的位置。 [libdefaults]:每种连接的默认配置
default_realm:默认的 realm,必须跟要配置的 realm 的名称一致 ticket_lifetime:表明凭证生效的时限,一般为 24 小时 renew_lifetime:表明凭证最长可以被延期的时限,一般为 7 天。当凭证过期之后,对安全认证的服务的后续访问则会失败 [realms]:列举使用的 realm
kdc:代表安装 kdc server 的机器。格式是主机名或主机IP admin_server:代表安装 admin server 的机器。格式是主机名或主机IP EXAMPLE.COM:设定的 realm。名字可任意取,但大小写敏感,一般为了识别使用都全部大写。这个 realm 跟机器的 hostname 没什么关系。 [kdc]的位置。
3、 kdc.conf 配置文件
# 一般的默认地址
# cat /var/kerberos/krb5kdc/kdc.conf
[kdcdefaults]
kdc_ports = 88
kdc_tcp_ports = 88
[realms]
EXAMPLE.COM = {
#master_key_type = aes256-cts
acl_file = /var/kerberos/krb5kdc/kadm5.acl
dict_file = /usr/share/dict/words
admin_keytab = /var/kerberos/krb5kdc/kadm5.keytab
supported_enctypes = aes256-cts:normal aes128-cts:normal des3-hmac-sha1:normal
arcfour-hmac:normal des-hmac-sha1:normal des-cbc-md5:normal des-cbc-crc:normal
}
EXAMPLE.COM:设定的 realm master_key_type:和 supported_enctypes 默认使用 aes256-cts acl_file:标注文件路径,用于设置 principal 的权限,需要用户自己创建。文件格式:Kerberos_principal_permissions [target_principal] [restrictions] admin_keytab:KDC 进行校验的 keytab supported_enctypes:支持的校验方式
4、kadm5.acl 配置文件
# 一般默认地址
# more /var/kerberos/krb5kdc/kadm5.acl
*/admin@EXAMPLE.COM *
文件格式:principal permissions [target_principal] [restrictions]
5、创建 Kerberos 数据库
/usr/sbin/kdb5_util create -s -r EXAMPLE.COM
# 注:执行上面的命令,会提示输入密码
-s 表示生成缓存文件,并在其中存储 master server key(krb5kdc) -r 是指定一个 krb5.conf 文件中存在的 realm
这个命令用来生成 Kerberos 的本地数据库,包括几个文件:principal、principal.OK、principal.kadm5 和 principal.kadm5.lock,并且创建 krb5kdc/principal 保存数据库文件
6、创建账户
输入 kadmin.local 或 kadmin -p [用户名]/[密码],这是一个管理整个 Kerberos 的命令符,如下图所示:
查看用户
listprincs
添加用户
addprinc admin/admin@EXAMPLE.COM
退出命令
exit
7、启动 KDC 服务器和 KDC 管理服务器,并使其开机自启动
service krb5kdc start
service kadmind start
chkconfig krb5kdc on
chkconfig kadmin on
本文由博客一文多发平台 OpenWrite 发布!
