| Каталог документации / Раздел "Документация для Linux" / Оглавление документа |
| |
|
MIT krb5 является свободной реализацией Kerberos 5. Kerberos это протокол сетевой аутентификации. Он централизует базу данных аутентификации и использует керберизованные приложения для работы с серверами или сервисами, поддерживающими Kerberos, и позволяющими одиночные регистрации и и шифрованные соединения через внутренние сети или интернет.
Адрес (HTTP): http://web.mit.edu/kerberos/www/dist/krb5/1.4/krb5-1.4-signed.tar
Контрольная сумма: 2fa56607677544e3a27b42f7cfa1155b
Размер: 6.6 MB
Требуемое дисковое пространство: 55 MB
Расчетное время сборки: 2.55 SBU
xinetd-2.3.13 (только серверные сервисы), Linux-PAM-0.78 (для xdm основанных регистраций) и OpenLDAP-2.2.20 (альтернатива базе данных паролей krb5kdc)
![[Замечание]](../images/note.png)
Некоторые виды средств синхронизации времени необходимы в вашей системе (например NTP-4.2.0), поскольку Kerberos не будет аутентифицировать при временнЫх различиях между керберизованным клиентом и KDC сервером.
MIT krb5 поставляется в TAR файле, содержащем сжатый пакет и присоединенный PGP ASC файл.
Если у вас установлен GnuPG-1.4.0, вы можете аутентифицировать пакет следующей командой:
gpg --verify krb5-1.4.tar.gz.asc
Соберем MIT krb5 запуском следующих команд:
cd src &&
./configure --prefix=/usr --sysconfdir=/etc \
--localstatedir=/var/lib --enable-dns \
--enable-static --mandir=/usr/share/man &&
make
Установим MIT krb5, выполнив следующие команы как пользователь root:
make install &&
mv /bin/login /bin/login.shadow &&
cp /usr/sbin/login.krb5 /bin/login &&
mv /usr/bin/ksu /bin &&
mv /usr/lib/libkrb5.so.3* /lib &&
mv /usr/lib/libkrb4.so.2* /lib &&
mv /usr/lib/libdes425.so.3* /lib &&
mv /usr/lib/libk5crypto.so.3* /lib &&
mv /usr/lib/libcom_err.so.3* /lib &&
ln -sf ../../lib/libkrb5.so.3 /usr/lib/libkrb5.so &&
ln -sf ../../lib/libkrb4.so.2 /usr/lib/libkrb4.so &&
ln -sf ../../lib/libdes425.so.3 /usr/lib/libdes425.so &&
ln -sf ../../lib/libk5crypto.so.3 /usr/lib/libk5crypto.so &&
ln -sf ../../lib/libcom_err.so.3 /usr/lib/libcom_err.so &&
ldconfig
--enable-dns: Этот ключ позволяет областям быть разрешенными, используя DNS сервер.
--enable-static: Этот ключ соберет статические библиотеки в дополнение к разделяемым библиотекам.
mv /bin/login /bin/login.shadow
cp /usr/sbin/login.krb5 /bin/login
mv /usr/bin/ksu /bin
Сохраним команду login из пакета Shadow, переместим ksu и login в директорию /bin.
mv /usr/lib/libkrb5.so.3* /lib
mv /usr/lib/libkrb4.so.2* /lib
mv /usr/lib/libdes425.so.3* /lib
mv /usr/lib/libk5crypto.so.3* /lib
mv /usr/lib/libcom_err.so.3* /lib
ln -sf ../../lib/libkrb5.so.3 /usr/lib/libkrb5.so
ln -sf ../../lib/libkrb4.so.2 /usr/lib/libkrb4.so
ln -sf ../../lib/libdes425.so.3 /usr/lib/libdes425.so
ln -sf ../../lib/libk5crypto.so.3 /usr/lib/libk5crypto.so
ln -sf ../../lib/libcom_err.so.3 /usr/lib/libcom_err.so
Программы login и ksu скомпонованы с этими библиотеками, хотя мы переместили эти библиотеки в /lib для возможности регистрации без монтирования /usr.
Создадим файл конфигурации Kerberos следующей командой:
cat > /etc/krb5.conf << "EOF" # Begin /etc/krb5.conf [libdefaults] default_realm = [LFS.ORG] encrypt = true [realms] [LFS.ORG] = { kdc = [belgarath.lfs.org] admin_server = [belgarath.lfs.org] } [domain_realm] .[lfs.org] = [LFS.ORG] [logging] kdc = SYSLOG[:INFO[:AUTH]] admin_server = SYSLOG[INFO[:AUTH]] default = SYSLOG[[:SYS]] # End /etc/krb5.conf EOF
Вам потребуется установить ваш домен и собственное имя хоста вместо имен [belgarath] и [lfs.org].
default_realm должен быть именем вашего домена, измененным на ALL CAPS. Оно не обязательно, но Heimdal и MIT рекомендуют его.
encrypt = true предосталяет шифрование всего трафика между керберизованными клиентами и серверами. Это не обязательно и может быть удалено. Если вы это сделаете, то сможете сможете шифровать трафик от клиента к серверу, используя вместо этого клиентскую программу.
Параметр [realms] говорит клиентским программам, где искать сервисы аутентификации KDC.
Секция [domain_realm] отображает домен на область.
Создадим базу данных KDC:
kdb5_util create -r [LFS.ORG] -s
Теперь вы должны наполнить базу данных законами (пользователями). С этих пор просто используйте ваше имя обычного пользователя или root.
kadmin.local kadmin:addprinc [loginname]
Сервер KDC и любая машина, запустившая керберизованный демон сервера должны иметь установленный ключ хоста:
kadmin:addprinc -randkey host/[belgarath.lfs.org]
После выбора параметров по умолчанию во время запроса, вы должны экспортировать данные в файл keytab:
kadmin:ktadd host/[belgarath.lfs.org]
При этом должен быть создан файл в /etc с именем krb5.keytab (Kerberos 5) и правами доступа 600 (запись/чтение только для root). Содержание файла keytab без общего доступа является критичным для полной безопасности установки Kerberos.
Наконец, вы захотите добавить законы серверного демона к базе данных и извлечь их в файл keytab. Сделайте это тем же способом, каким вы создали законы хоста. Ниже приведен пример:
kadmin:addprinc -randkey ftp/[belgarath.lfs.org] kadmin:ktadd ftp/[belgarath.lfs.org]
Выйдете из программы kadmin (используя quit или exit) и вернитесь обратно к приглашению оболочки. Запустите демон KDC вручную просто для проверки установки:
/usr/sbin/krb5kdc &
Попробуйте получить билет при помощи следующей команды:
kinit [loginname]
У вас будет запрошен пароль, который вы создали. После того, как вы получите ваш билет, вы сможете просмотреть его при помощи следующей команды:
klist
Информация о билете должна быть отображена на экране.
Для проверки функциональности файла keytab выполните следующую команду:
ktutil ktutil:rkt /etc/krb5.keytab ktutil:l
Это должно вывести список законов хоста вместе с методами шифрования, используемым для доступа к законам.
В этом месте, если все прошло удачно, вы можете почувствовать достаточную уверенность в установке и настройке пакета.
Установите стартовый скрипт /etc/rc.d/init.d/kerberos, включенный в пакет blfs-bootscripts-6.0.
make install-kerberos
Для использования керберизованных клиентских программ (telnet, ftp, rsh, rcp, rlogin), вы сначала должны получить билет аутентификации. Используйте программу kinit для получения билета. После получения билета вы можете использовать керберизованные программы для соединения с любым керберизованным сервером в сети. У вас не будет запрашиваться аутентификация во время действия билета (по умолчанию один день), если вы не описываете другого пользователя в качестве аргумента командной строки к программе.
Керберизованные программы, которые будут подключаться к некерберизованным демонам, предупредят вас о том, что аутентификация не шифруется.
Использование керберизованных серверных программ (telnetd, kpropd, klogind и kshd) требует двух дополнительных шагов конфигурации. Первый - файл /etc/services должен быть обновлен для включения eklogin и krb5_prop. Второй - файл inetd.conf или xinetd.conf должен быть изменен для каждого сервера, который будет активирован, обычно заменяя сервер из Inetutils-1.4.2.
Для дополнительной информации проконсультируйтесь в Документации по krb-1.4, на которой основаны вышеописанные инструкции.
преобразует листинг таблицы имен кодов ошибок в исходный C файл.
керберизованный FTP клиент.
керберизованный FTP демон.
утилита манипуляции таблицей ключей хоста.
утилита, используемая для внесения изменений в базу данных Kerberos.
сервер для административного доступа в базу данных Kerberos.
утилита базы данных KDC.
удаляет текущую установку билетов.
используется для регистрации на сервере Kerberos законов и получения билета, разрешая билеты, которые позднее могут быть использованы для получения билетов для других сервисов.
читает и отображает текущие билеты в кеше.
сервер, отвечающий на запросы rlogin.
программа для изменения паролей Kerberos 5.
берет базу данных законов в специфическом формате и преобзазует ее в поток записей базы данных.
получает посылку базы данных kprop и записывает ее как локальную базу данных.
дает информацию о том, как скомпонованы программы с библиотеками.
сервер Kerberos 5.
сервер, отвечающий на запросы rsh.
программа su, использующая протокол Kerberos. Требует правильно настроенный файл /etc/shells и ~/.k5login, содержащий авторизованные законы, чтобы стать супер пользователем.
программа для управления таблицами ключей Kerberos.
печатает номера версий ключей законов Kerberos.
керберизованная программа регистрации.
керберизованная клиентская программа rcp.
керберизованная клиентская программа rlogin.
керберизованная клиентская программа rsh.
керберизованная клиентская программа telnet.
керберизованный сервер telnet.
включает Kerberos библиотеку кодов ошибок.
содержит Generic Security Service Application Programming Interface (GSSAPI) функции, предоставляющие сервисы безопасности в общем стиле, поддерживаемом при помощи диапазона механизмов и технологий и с этого времени позволяющем переносимость приложений на уровне исходников в другие окружения.
содержит функции административной аутентификации и проверки пароля, требуемые для клиентских программ Kerberos 5.
содержит функции административной аутентификации и проверки пароля, требуемые для серверов Kerberos 5.
библиотека доступа к базе данных аутентификации/авторизации Kerberos 5.
библиотека общего назначения Kerberos 5.
Последнее обновление 2005-02-10 13:19:10 -0700
|
Закладки на сайте Проследить за страницей |
Created 1996-2024 by Maxim Chirkov Добавить, Поддержать, Вебмастеру |