🔐 Настройка аутентификации Kerberos для Linux |

Kerberos остается одним из самых надежных протоколов аутентификации для большинства рабочих сред.

Он обеспечивает надежную однократную регистрацию или вход в сеть для пользователей в незащищенных сетях.

В идеале Kerberos предоставляет пользователям билеты или тикеты, чтобы помочь им минимизировать частое использование паролей в сетях.

Частое использование паролей увеличивает вероятность утечки данных или кражи пароля.

Но, как и большинство протоколов аутентификации, успех работы с Kerberos зависит от правильной установки и настройки.

Многие люди иногда считают настройку Linux для использования Kerberos утомительной задачей.

Однако, настройка Linux для аутентификации с помощью Kerberos не так сложна, как вы думаете.

В этой статье вы найдете пошаговое руководство по настройке Linux для аутентификации с помощью Kerberos.

Среди вещей, которые вы узнаете из этой статьи, следующие:

Настройка ваших серверов
Предварительные условия, необходимые для настройки Kerberos на Linux
Настройка KDC и баз данных
Управление и администрирование служб Kerberos

Содержание

Пошаговое руководство по настройке Linux для аутентификации с помощью Kerberos
Шаг 1: Убедитесь, что обе машины отвечают предварительным требованиям для настройки Kerberos Linux
Шаг 2: Настройка центра распределения ключей
Шаг 3: Проверьте установленные пакеты
Шаг 4: Редактирование файла по умолчанию /var/kerberos/krb5kdc/kdc.conf
Шаг 5: Создание базы данных Kerberos
Шаг 6: Управление службами
Шаг 7: Настройка брандмауэра
Шаг 8: Проверьте, взаимодействует ли krb5kdc с портами
Шаг 9: Администрирование Kerberos
Шаг 10: Настройка клиента
Заключение

Пошаговое руководство по настройке Linux для аутентификации с помощью Kerberos

Следующие шаги помогут вам настроить Linux для аутентификации с помощью Kerberos

Шаг 1: Убедитесь, что обе машины отвечают предварительным требованиям для настройки Kerberos Linux

Прежде всего, перед началом процесса настройки вам необходимо убедиться, что вы выполнили следующие действия:

У вас должна быть функциональная среда Kerberos Linux. В частности, вы должны убедиться, что у вас есть сервер Kerberos (KDC) и клиент Kerberos, установленные на разных машинах. Предположим, что сервер обозначен следующими адресами интернет-протокола: 192.168.1.14, а клиент работает на следующем адресе 192.168.1.15. Клиент запрашивает тикеты у KDC.
Синхронизация времени является обязательной. Вы должны использовать сетевую синхронизацию времени (NTP) для обеспечения того, чтобы обе машины работали в одном временном интервале. Любая разница во времени более чем на 5 минут приведет к неудачному процессу аутентификации.
Для аутентификации вам понадобится DNS. Служба доменной сети поможет разрешить конфликты в системной среде.

Шаг 2: Настройка центра распределения ключей

У вас уже должен быть функциональный KDC, который вы настроили во время установки.

Вы можете выполнить приведенную ниже команду на своем KDC:

yum install krb5-server

или более подробно:

😺 Как установить и настроить Kerberos в CentOS / RHEL 7

Шаг 3: Проверьте установленные пакеты

Проверьте файл /etc/krb5.conf.

Ниже приведена копия конфигурации по умолчанию:

Шаг 4: Редактирование файла по умолчанию /var/kerberos/krb5kdc/kdc.conf

После успешной настройки вы можете отредактировать файл /var/Kerberos/krb5kdc/kdc.conf, удалив все комментарии в разделе realm, default_reams, и изменив их в соответствии с вашей средой Kerberos.

Шаг 5: Создание базы данных Kerberos

После успешного подтверждения вышеуказанных деталей, мы переходим к созданию базы данных Kerberos с помощью kdb_5.

Здесь очень важен пароль, который вы создали.

Он будет служить нашим главным ключом, который мы будем использовать для шифрования базы данных для безопасного хранения.

kdb5_util create -s

Приведенная выше команда будет выполняться в течение одной минуты или около того для загрузки случайных данных.

Перемещение мыши потенциально ускорит процесс.

Шаг 6: Управление службами

Следующий шаг – управление службами.

Вы можете автоматически запустить свою систему с включением серверов kadmin и krb5kdc.

Ваши службы KDC будут автоматически настроены после перезагрузки системы.

enable kadmin krb5kdc

systemctl start kadmin krb5kdc

Шаг 7: Настройка брандмауэра

Если выполнение вышеперечисленных шагов прошло успешно, следует перейти к настройке брандмауэра.

Настройка фаерволла включает в себя установку правильных правил, которые позволят системе взаимодействовать со службами kdc.

Нижеприведенная команда должна быть полезной:

firewalld-cmd --permanent --add-service=kerberos

firewalld-cmd reload

Шаг 8: Проверьте, взаимодействует ли krb5kdc с портами

Инициализированная служба Kerberos должна прослушиваться на TCP и UDP на порту 80.

netstat -atulpn | grep krb

Шаг 9: Администрирование Kerberos

Администрируйте KDC с помощью команды kadnim.local.

Вы можете получить доступ и просмотреть содержимое в kadmin.local.

Вы можете использовать команду “?”, чтобы увидеть, как применяется addprinc в учетной записи пользователя для добавления принципала.

Шаг 10: Настройка клиента

До этого KDC будет принимать соединения и предлагать пользователям тикеты.

Для настройки клиентского компонента можно использовать несколько методов.

Однако для данной демонстрации мы будем использовать графический пользовательский протокол, так как его легко и быстро реализовать.

Во-первых, мы должны установить приложение authconfig-gtk с помощью команд, приведенных ниже:

yum install authconfig-gtk -y

После завершения настройки и выполнения вышеуказанной команды в окне терминала появится окно конфигурации аутентификации.

Следующим шагом будет выбор элемента LDAP из выпадающего меню идентификации и аутентификации и ввод Kerberos password, соответствующего информации о realm и kdc.

Заключение

После установки у вас будет полностью настроенный Kerberos и клиентский сервер, когда вы выполните описанные выше шаги.

В приведенном выше руководстве рассматривается процесс настройки Linux для аутентификации с помощью Kerberos.

Конечно, вы можете затем создать пользователя.

см. также: