Użyj usługi Kerberos w Linux

Pani Julia Szwed
Użyj usługi Kerberos w Linux
Jednym z najtrudniejszych kroków dla administratorów danych jest cały proces utrzymania bezpieczeństwa i integralności systemów. Proces krytyczny polega na wzięciu odpowiedzialności za to, co robi każdy użytkownik. Obejmuje to również dogłębne zrozumienie i kontrolowanie wszystkiego, co dzieje się z każdą aplikacją, serwerem i usługą w infrastrukturze sieciowej.

Kerberos pozostaje jednym z najbezpieczniejszych protokołów uwierzytelniania w środowiskach Linux. Dowiesz się później, że Kerberos przydaje się również do celów szyfrowania.

W tym artykule omówiono, jak wdrożyć usługę Kerberos w systemie operacyjnym Linux. Przewodnik przeprowadzi Cię przez obowiązkowe kroki, które zapewniają, że usługa Kerberos w systemie Linux zakończy się powodzeniem.

Korzystanie z usługi Kerberos w Linux: przegląd

Istotą uwierzytelnienia jest zapewnienie niezawodnego procesu zapewnienia zidentyfikowania wszystkich użytkowników na swojej stacji roboczej. Pomaga także kontrolować, w co użytkownicy mogą uzyskać dostęp. Ten proces jest dość trudny w otwartych środowiskach sieciowych, chyba że polegasz wyłącznie na zapisaniu się do każdego programu przez każdego użytkownika za pomocą haseł.

Ale w zwykłych przypadkach użytkownicy muszą wpłacić hasła, aby uzyskać dostęp do każdej usługi lub aplikacji. Ten proces może być gorączkowy. Ponownie używanie haseł za każdym razem jest przepisem na wyciek hasła lub podatność na cyberprzestępczość. Kerberos przydaje się w tych przypadkach.

Oprócz umożliwienia użytkownikom rejestracji tylko raz i uzyskiwania dostępu do wszystkich aplikacji, Kerberos pozwala administratorowi stale sprawdzać, w co każdy użytkownik może uzyskać dostęp. Idealnie używanie Kerberos Linux z powodzeniem ma na celu rozwiązanie następujących informacji;

  • Upewnij się, że każdy użytkownik ma swoją unikalną tożsamość i żaden użytkownik nie przyjmuje czyjejś tożsamości.
  • Upewnij się, że każdy serwer ma swoją unikalną tożsamość i udowadnia ją. Ten wymóg zapobiega możliwości pełzania atakujących w podszywaniu się pod serwerami.

Krok po kroku Przewodnik po tym, jak korzystać z Kerberos w Linux

Poniższe kroki pomogą Ci pomyślnie używać Kerberos w Linux:

Krok 1: Potwierdź, czy masz zainstalowany KBR5 w swoim komputerze

Sprawdź, czy masz najnowszą wersję Kerberos zainstalowaną za pomocą poniższego polecenia. Jeśli go nie masz, możesz pobrać i zainstalować KBR5. Omówiliśmy już proces instalacji w innym artykule.

Krok 2: Utwórz ścieżkę wyszukiwania

Będziesz musiał utworzyć ścieżkę wyszukiwania, dodając /usr/kerberos/bin i/usr/kerberos/sbin do ścieżki wyszukiwania.

Krok 3: Skonfiguruj nazwę Realm

Twoje prawdziwe imię powinno to być nazwa domeny DNS. To polecenie to:

Będziesz musiał zmodyfikować wyniki tego polecenia, aby pasowały do ​​środowiska dziedziny.

Krok 4: Utwórz i uruchom swoją bazę danych KDC dla głównego

Utwórz kluczowe centrum dystrybucji dla głównej bazy danych. Oczywiście jest to również punkt, w którym będziesz musiał utworzyć hasło główne dla operacji. To polecenie jest konieczne:

Po utworzeniu możesz uruchomić KDC za pomocą poniższego polecenia:

Krok 5: Ustaw osobisty dyrektor Kerberos

Nadszedł czas, aby utworzyć dla ciebie dyrektor KBR5. Powinien mieć uprawnienia administracyjne, ponieważ potrzebujesz uprawnień do zarządzania, kontrolowania i uruchamiania systemu. Będziesz także musiał utworzyć głównego głównego hosta dla hosta KDC. Podpisem tego polecenia będzie:

# kadmind [-m]

W tym momencie może być konieczne skonfigurowanie kerberos. Przejdź do domeny domyślnej w pliku „/etc/krb5.config ”i wprowadza następujące Defeault_Realm = ist.UTL.Pt. Realm powinien również pasować do nazwy domeny. W tym przypadku Kenhint.Com to konfiguracja domeny wymagana dla usługi domeny w głównym mistrzu.

Po ukończeniu powyższych procesów pojawi się okno, które do tej pory przechwytuje podsumowanie statusu zasobów sieciowych do tego punktu, jak pokazano poniżej:

Zaleca się, aby sieć weryfikowała użytkowników. W takim przypadku mamy Kenhint, który powinien mieć UID w wyższym zakresie niż użytkownicy lokalni.

Krok 6: Użyj polecenia Kerberos Kinit Linux, aby przetestować nowy główny główny

Kinit Utility służy do przetestowania nowego zasady utworzonej zgodnie z uchwyconymi poniżej:

Krok 7: Utwórz kontakt

Tworzenie kontaktu jest niezwykle ważnym krokiem. Uruchom zarówno serwer biletowy, jak i serwer uwierzytelniania. Serwer daje bilety będzie na dedykowanym komputerze, który jest dostępny tylko przez administratora w sieci i fizycznie. Zmniejsz wszystkie usługi sieciowe do najmniejszej możliwości. Nie powinieneś nawet uruchamiać usługi SSHD.

Jak każdy proces logowania, pierwsza interakcja z KBR5 będzie obejmować klucze w określonych szczegółach. Po wprowadzeniu nazwy użytkownika system wyśle ​​informacje do serwera uwierzytelniania Linux Kerberos. Po zidentyfikowaniu Cię serwer uwierzytelnienia wygeneruje losową sesję dla ciągłej korespondencji między serwerem do-biletowym a klientem.

Bilet zwykle zawiera następujące szczegóły:

Nazwy zarówno serwera do uruchomienia biletów, jak i klienta

  • Życie biletu
  • Obecny czas
  • Klucz nowej generacji
  • Adres IP klienta

Krok 8: Testowanie przy użyciu polecenia Kinit Kerberos, aby uzyskać poświadczenia użytkownika

Podczas procesu instalacji domenę domyślną jest ustawiona na ist.UTL. PT przez pakiet instalacyjny. Następnie możesz uzyskać bilet za pomocą polecenia Kinit zgodnie z uchwyceniem na poniższym obrazku:

Na powyższym zrzucie ekranu istkenhint odnosi się do identyfikatora użytkownika. Ten identyfikator użytkownika będzie również wyposażony w hasło do weryfikacji, czy istnieje ważny bilet Kerberos. Polecenie Kinit służy do wyświetlania lub pobierania biletów i poświadczeń obecnych w sieci.

Po instalacji możesz użyć tego domyślnego polecenia Kinit, aby uzyskać bilet, jeśli nie masz niestandardowej domeny. Możesz także całkowicie dostosować domenę.

W takim przypadku istkenhint jest odpowiednim identyfikatorem sieciowym.

Krok 9: Przetestuj system administracyjny za pomocą hasła uzyskanego wcześniej

Wyniki dokumentacji są reprezentowane poniżej po pomyślnym uruchomieniu powyższego polecenia:

Krok 10: Uruchom ponownie Kadmin Praca

Ponowne uruchomienie serwera za pomocą # kadmind [-m] Polecenie daje dostęp do listy kontrolnej użytkowników na liście.

Krok 11: Monitoruj, jak działa Twój system

Poniższy zrzut ekranu podkreśla polecenia dodane w/etc/nazwane/db.Kenhint.com w celu wspierania klientów w automatycznym określeniu kluczowego centrum dystrybucji dla dziedzin wykorzystujących elementy DNS SRV.

Krok 12: Użyj polecenia Klist, aby zbadać bilet i poświadczenia

Po wprowadzeniu prawidłowego hasła narzędzie Klist wyświetli poniższe informacje na temat stanu usługi Kerberos, która działa w systemie Linux, jak pokazano poniżej zrzutu ekranu:

Folder pamięci podręcznej KRB5CC_001 zawiera denotation KRB5CC_ i identyfikację użytkownika, jak wskazano we wcześniejszych zrzutach ekranu. Możesz dodać wpis do pliku /etc /hosts dla klienta KDC, aby ustalić tożsamość z serwerem, jak wskazano poniżej:

Wniosek

Po wykonaniu powyższych kroków Kerberos Realm i usługi zainicjowane przez serwer Kerberos są gotowe i uruchomione w systemie Linux. Możesz kontynuować korzystanie z kerberos do uwierzytelniania innych użytkowników i edytowania uprawnień użytkowników.

php
Jak używać funkcji Array_Merge w PHP?
Funkcja array_merge () w php pozwala połączyć wiele tablic w jedną. Śledź ten artykuł, aby dowiedzie...
Pani Julia Szwed
Programowanie C
Co to jest obsługa plików w programowaniu C?
Obsługa plików jest istotnym aspektem programowania C, który pozwala programistom pracować z plikami...
Renata Borowiec
Golang
Co to jest klasa i obiekt w Golang?
Go nie ma zajęć ani przedmiotów w klasycznym sensie; Zamiast tego wykorzystuje struktury i interfejs...
Pani Żaneta Pakuła
Pyton
Jak sprawdzić, czy sznurek jest pusty w Pythonie
Pani Alicja Szafrański
Pyton
MATPLOTLIB 2D Histogram
Maja Kucharski
JavaScript
Jak działa wydarzenie OnClick w JavaScript
Maja Kucharski
Golang
Jak przekonwertować ciąg na typ liczby całkowitej w Golang?
Justyna Flak
html
Jak korzystać z właściwości pagey Mouseevent?
Bruno Dobrowolski
AWS
Co to jest AWS GuardDuty i dlaczego jest używany?
Sebastian Kaczyński
Oracle Linux
Jakie powinny być minimalne specyfikacje systemowe dla Oracle Linux?
Zofia Góra
html
Jak tworzyć punkty pocisków HTML?
Sebastian Kaczyński
PowerShell
Jak korzystać z cmdlet ruchu w PowerShell?
Makary Stasiak
Programowanie C
Jak drukować % za pomocą printf w programowaniu C?
Pani Julia Szwed