Kerberos остается одним из самых надежных протоколов аутентификации для большинства рабочих сред.
Он обеспечивает надежную однократную регистрацию или вход в сеть для пользователей в незащищенных сетях.
В идеале Kerberos предоставляет пользователям билеты или тикеты, чтобы помочь им минимизировать частое использование паролей в сетях.
Частое использование паролей увеличивает вероятность утечки данных или кражи пароля.
Но, как и большинство протоколов аутентификации, успех работы с Kerberos зависит от правильной установки и настройки.
Многие люди иногда считают настройку Linux для использования Kerberos утомительной задачей.
Однако, настройка Linux для аутентификации с помощью Kerberos не так сложна, как вы думаете.
В этой статье вы найдете пошаговое руководство по настройке Linux для аутентификации с помощью Kerberos.
Среди вещей, которые вы узнаете из этой статьи, следующие:
- Настройка ваших серверов
- Предварительные условия, необходимые для настройки Kerberos на Linux
- Настройка KDC и баз данных
- Управление и администрирование служб Kerberos
- Пошаговое руководство по настройке Linux для аутентификации с помощью Kerberos
- Шаг 1: Убедитесь, что обе машины отвечают предварительным требованиям для настройки Kerberos Linux
- Шаг 2: Настройка центра распределения ключей
- Шаг 3: Проверьте установленные пакеты
- Шаг 4: Редактирование файла по умолчанию /var/kerberos/krb5kdc/kdc.conf
- Шаг 5: Создание базы данных Kerberos
- Шаг 6: Управление службами
- Шаг 7: Настройка брандмауэра
- Шаг 8: Проверьте, взаимодействует ли krb5kdc с портами
- Шаг 9: Администрирование Kerberos
- Шаг 10: Настройка клиента
- Заключение
Пошаговое руководство по настройке Linux для аутентификации с помощью Kerberos
Следующие шаги помогут вам настроить Linux для аутентификации с помощью Kerberos
Шаг 1: Убедитесь, что обе машины отвечают предварительным требованиям для настройки Kerberos Linux
Прежде всего, перед началом процесса настройки вам необходимо убедиться, что вы выполнили следующие действия:
- У вас должна быть функциональная среда Kerberos Linux. В частности, вы должны убедиться, что у вас есть сервер Kerberos (KDC) и клиент Kerberos, установленные на разных машинах. Предположим, что сервер обозначен следующими адресами интернет-протокола: 192.168.1.14, а клиент работает на следующем адресе 192.168.1.15. Клиент запрашивает тикеты у KDC.
- Синхронизация времени является обязательной. Вы должны использовать сетевую синхронизацию времени (NTP) для обеспечения того, чтобы обе машины работали в одном временном интервале. Любая разница во времени более чем на 5 минут приведет к неудачному процессу аутентификации.
- Для аутентификации вам понадобится DNS. Служба доменной сети поможет разрешить конфликты в системной среде.
Шаг 2: Настройка центра распределения ключей
У вас уже должен быть функциональный KDC, который вы настроили во время установки.
Вы можете выполнить приведенную ниже команду на своем KDC:
yum install krb5-server
или более подробно:
Шаг 3: Проверьте установленные пакеты
Проверьте файл /etc/krb5.conf.
Ниже приведена копия конфигурации по умолчанию:
Шаг 4: Редактирование файла по умолчанию /var/kerberos/krb5kdc/kdc.conf
После успешной настройки вы можете отредактировать файл /var/Kerberos/krb5kdc/kdc.conf, удалив все комментарии в разделе realm, default_reams, и изменив их в соответствии с вашей средой Kerberos.
Шаг 5: Создание базы данных Kerberos
После успешного подтверждения вышеуказанных деталей, мы переходим к созданию базы данных Kerberos с помощью kdb_5.
Здесь очень важен пароль, который вы создали.
Он будет служить нашим главным ключом, который мы будем использовать для шифрования базы данных для безопасного хранения.
kdb5_util create -s
Приведенная выше команда будет выполняться в течение одной минуты или около того для загрузки случайных данных.
Перемещение мыши потенциально ускорит процесс.
Шаг 6: Управление службами
Следующий шаг – управление службами.
Вы можете автоматически запустить свою систему с включением серверов kadmin и krb5kdc.
Ваши службы KDC будут автоматически настроены после перезагрузки системы.
enable kadmin krb5kdc systemctl start kadmin krb5kdc
Шаг 7: Настройка брандмауэра
Если выполнение вышеперечисленных шагов прошло успешно, следует перейти к настройке брандмауэра.
Настройка фаерволла включает в себя установку правильных правил, которые позволят системе взаимодействовать со службами kdc.
Нижеприведенная команда должна быть полезной:
firewalld-cmd --permanent --add-service=kerberos firewalld-cmd reload
Шаг 8: Проверьте, взаимодействует ли krb5kdc с портами
Инициализированная служба Kerberos должна прослушиваться на TCP и UDP на порту 80.
netstat -atulpn | grep krb
Шаг 9: Администрирование Kerberos
Администрируйте KDC с помощью команды kadnim.local.
Вы можете получить доступ и просмотреть содержимое в kadmin.local.
Вы можете использовать команду “?”, чтобы увидеть, как применяется addprinc в учетной записи пользователя для добавления принципала.
Шаг 10: Настройка клиента
До этого KDC будет принимать соединения и предлагать пользователям тикеты.
Для настройки клиентского компонента можно использовать несколько методов.
Однако для данной демонстрации мы будем использовать графический пользовательский протокол, так как его легко и быстро реализовать.
Во-первых, мы должны установить приложение authconfig-gtk с помощью команд, приведенных ниже:
yum install authconfig-gtk -y
После завершения настройки и выполнения вышеуказанной команды в окне терминала появится окно конфигурации аутентификации.
Следующим шагом будет выбор элемента LDAP из выпадающего меню идентификации и аутентификации и ввод Kerberos password, соответствующего информации о realm и kdc.
Заключение
После установки у вас будет полностью настроенный Kerberos и клиентский сервер, когда вы выполните описанные выше шаги.
В приведенном выше руководстве рассматривается процесс настройки Linux для аутентификации с помощью Kerberos.
Конечно, вы можете затем создать пользователя.
см. также:
- 🐧 Как обновить тикет Kerberos
- 🐧 Интеграция серверов Linux с Active Directory с помощью Samba, Winbind и Kerberos
- 🎎 Krbrelayx – тулкит неограниченного злоупотребления делегированием Kerberos
- Как установить Kerberos KDC Server и клиент на Ubuntu 18.04
- Astra Linux. Настройка защищенной печати Cups. Аутентификация Kerberos
- Apache. Аутентификация Kerberos
- 🔐 Ansible SSH аутентификация и повышение привилегий