Installation und Administration von Kerberos

Inhaltsverzeichnis

46.1. Auswählen der Kerberos-Bereiche
46.2. Einrichten der KDC-Hardware
46.3. Uhrensynchronisation
46.4. Konfigurieren des KDC
46.5. Manuelles Konfigurieren der Kerberos-Clients
46.6. Konfigurieren von Kerberos-Clients mit YaST
46.7. Entfernte Kerberos-Administration
46.8. Erstellen der Kerberos-Host-Prinzipals
46.9. Aktivieren der PAM-Unterstützung für Kerberos
46.10. Konfigurieren von SSH für die Kerberos-Authentifizierung
46.11. Verwenden von LDAP und Kerberos

In diesem Abschnitt werden die Installation der MIT Kerberos-Implementierung sowie einige administrative Aspekte erläutert. Es wird davon ausgegangen, dass Sie mit den grundlegenden Kerberos-Konzepten vertraut sind (siehe auch Kapitel 45, Netzwerk-Authentifizierung – Kerberos).

Auswählen der Kerberos-Bereiche

Die Domäne einer Kerberos-Installation wird als Bereich bezeichnet und mit einem Namen identifiziert, z. B. FOOBAR.COM oder einfach BUCHHALTUNG. Kerberos unterstützt die Groß-/Kleinschreibung, daher ist foobar.com ein anderer Bereich als FOOBAR.COM. Verwenden Sie nach Ihrem Belieben Groß- oder Kleinschreibung. Gewöhnlich verwendet man jedoch Bereichsnamen in Großbuchstaben.

Daher ist eine gute Wahl Ihr DNS Domain Name (oder eine Unterdomäne, wie ACCOUNTING.FOOBAR.COM). Wie Sie im Folgenden sehen werden, wird Ihre Arbeit als Administrator wesentlich einfacher, wenn Sie Ihre Kerberos-Clients so konfigurieren, dass die KDC- und andere Kerberos-Dienste über DNS gesucht werden. Dafür ist es hilfreich, wenn Ihr Bereichsname eine Unterdomäne Ihres DNS Domain Name ist.

Anders als der DNS-Namespace ist Kerberos nicht hierarchisch. Es ist nicht möglich, einen Bereich FOOBAR.COM einzurichten und diesem zwei „Bereiche ENTWICKLUNG und BUCHHALTUNG unterzuordnen, die automatisch die Prinzipale von FOOBAR.COM erben. Stattdessen benötigen Sie drei separate Bereiche, für die Sie eine bereichsübergreifende Authentifizierung konfigurieren müssen, damit Benutzer mit Servern oder Benutzern aus anderen Bereichen kommunizieren können.

Lassen Sie uns der Einfachheit halber annehmen, Sie richten für Ihr gesamtes Unternehmen nur einen Bereich ein. Im Weiteren wird daher der Bereichsname BEISPIEL.COM für alle Beispiele verwendet.