Konfigurowanie Linuksa do uwierzytelniania kerberos

Kerberos pozostaje jednym z najbezpieczniejszych protokołów uwierzytelniania dla większości środowisk pracy. Zapewnia dla użytkowników niezawodne logowanie dla użytkowników w sieciach innych niż. Idealnie, Kerberos dostarcza użytkownikom bilety, które pomogą im zminimalizować częste korzystanie z haseł w sieciach.

Częste stosowanie haseł zwiększa możliwość naruszenia danych lub kradzieży hasła. Ale podobnie jak większość protokołów uwierzytelniania, Twój sukces w Kerberos opiera się na prawidłowej instalacji i konfiguracji.

Wiele osób czasami uważa konfigurację Linuksa do używania Kerberosa to żmudne zadanie. Może to być prawdziwe dla użytkowników po raz pierwszy. Jednak konfiguracja Linuksa do uwierzytelnienia z Kerberos nie jest tak skomplikowana, jak myślisz.

W tym artykule zawiera przewodnik krok po kroku o konfiguracji Linuksa do uwierzytelnienia za pomocą Kerberos. Wśród rzeczy, których nauczysz się z tego zapisu, to:

• Ustawienie serwerów
• Wymagania wstępne niezbędne do konfiguracji Linux Kerberos
• Konfigurowanie KDC i baz danych
• Zarządzanie usługami i administracją usług Kerberos

Krok po kroku Przewodnik po skonfigurowaniu Linuksa do uwierzytelniania za pomocą Kerberos

Poniższe kroki powinny pomóc w skonfigurowaniu Linux do uwierzytelniania się za pomocą Kerberos

Krok 1: Upewnij się, że obie maszyny spełniają warunki wstępne do konfigurowania Kerberos Linux

Po pierwsze, musisz upewnić się, że wykonasz następujące czynności przed rozpoczęciem procesu konfiguracji:

1. Musisz mieć funkcjonalne środowisko Kerberos Linux. W szczególności musisz upewnić się, że masz serwer Kerberos (KDC) i klient Kerberos skonfigurowany w osobnych maszynach. Załóżmy, że serwer jest oznaczony następującymi adresami protokołu internetowego: 192.168.1.14, a klient działa na następujący adres 192.168.1.15. Klient prosi o bilety z KDC.
2. Synchronizacja czasu jest obowiązkowa. Użyjesz synchronizacji czasu sieciowego (NTP), aby upewnić się, że oba maszyny działają w tym samym ramie czasowym. Każda różnica czasu wynosząca dłużej niż 5 minut spowoduje nieudany proces uwierzytelniania.
3. Będziesz potrzebował DNS do uwierzytelnienia. Usługa sieci domeny pomoże rozwiązać konflikty w środowisku systemowym.

Krok 2: Skonfiguruj kluczowe centrum dystrybucji

Powinieneś już mieć funkcjonalny KDC, który skonfigurowałeś podczas instalacji. Możesz uruchomić poniższe polecenie na swoim KDC:

Krok 3: Sprawdź zainstalowane pakiety

Sprawdź/ itp./ KRB5.conf plik, aby dowiedzieć się, które pakiety istnieją. Poniżej znajduje się kopia domyślnej konfiguracji:

Krok 4: Edytuj domyślne/var/kerberos/krb5kdc/kdc.plik CONF

Po udanej konfiguracji możesz edytować/var/kerberos/krb5kdc/kdc.Plik CONF, usuwając wszelkie komentarze w sekcji Realm, Default_reams i zmieniając je w celu dopasowania do środowiska Kerberos.

Krok 5: Utwórz bazę danych Kerberos

Po pomyślnym potwierdzeniu powyższych szczegółów kontynuujemy tworzenie bazy danych Kerberos za pomocą KDB_5. Hasło, które utworzyłeś, jest tutaj niezbędne. Będzie działał jako nasz klucz główny, ponieważ będziemy go używać do szyfrowania bazy danych w celu bezpiecznego przechowywania.

Powyższe polecenie będzie wykonywane przez około minutę, aby załadować losowe dane. Poruszanie myszy wokół prasy zatrzymuje się lub w GUI potencjalnie przymocowało proces.

Krok 6: Zarządzanie usługami

Następnym krokiem jest zarządzanie usługami. Możesz automatycznie uruchomić system, aby włączyć serwery Kadmin i KRB5KDC. Twoje usługi KDC będą automatycznie skonfigurować po ponownym uruchomieniu systemu.

Krok 7: Skonfiguruj zapory ogniowe

Jeśli wykonanie powyższych kroków zakończy się powodzeniem, powinieneś przejść, aby skonfigurować zaporę ogniową. Konfiguracja zapory obejmuje ustawienie prawidłowych reguł zapory, która umożliwia systemowi komunikowanie się z usługami KDC.

Poniższe polecenie powinno się przydać:

Krok 8: Przetestuj, czy KRB5KDC komunikuje się z portami

Zainicjowana usługa Kerberos powinna umożliwić ruch z portu TCP i UDP 80. Możesz wykonać test potwierdzenia, aby to ustalić.

W takim przypadku pozwoliliśmy Kerberos na wsparcie ruchu, który wymaga Kadmin TCP 740. Protokół zdalnego dostępu rozważy konfigurację i zwiększy bezpieczeństwo dostępu do lokalnego dostępu.

Krok 9: Administracja Kerberos

Administruj kluczowego centrum dystrybucji za pomocą Kadnim.polecenie lokalne. Ten krok pozwala uzyskać dostęp do zawartości w Kadmin.lokalny. Możesz użyć „?”Polecenie, aby zobaczyć, w jaki sposób AddPrinc jest stosowany na koncie użytkownika do dodania głównego.

Krok 10: Skonfiguruj klienta

Kluczowe centrum dystrybucji zaakceptuje połączenia i oferuje bilety użytkownikom do tego momentu. Przydaje się kilka metod konfigurowania komponentu klienta. Jednak użyjemy graficznego protokołu użytkownika do tej demonstracji, ponieważ jest łatwy i szybki do wdrożenia.

Najpierw musimy zainstalować aplikację Authconfig-GTK za pomocą poniższych poleceń:

Okno konfiguracji uwierzytelnienia pojawi się po zakończeniu konfiguracji i uruchomieniu polecenia powyżej w oknie terminalu. Następnym ruchem jest wybranie elementu LDAP z menu rozwijanego tożsamości i uwierzytelniania oraz wpisz Kerberos jako hasło odpowiadające informacji na temat dziedziny i kluczowego centrum dystrybucji. W tym przypadku 192.168.1.14 to protokół internetowy.

Zastosuj te modyfikacje po zakończeniu.

Wniosek

Po wykonaniu powyższych kroków będziesz mieć w pełni skonfigurowane kerberos i serwer klienta. Powyższy przewodnik prowadzi jeden przez proces konfigurowania Linuksa do uwierzytelnienia z Kerberos. Oczywiście możesz następnie utworzyć użytkownika.