本小節涵蓋 KDC 的起始設定與安裝,包括管理主體的建立。此程序包含多個步驟:
安裝 RPM. 在專用為 KDC 的電腦上,安裝特殊軟體套件。如需詳細資料,請參閱 第 46.4.1 節「安裝 RPM」。
調整組態檔案.
您必須依您的案例調整組態檔案 /etc/krb5.conf
和 /var/lib/kerberos/krb5kdc/kdc.conf
。這些檔案包含 KDC 上的所有資訊。
建立 Kerberos 資料庫. Kerberos 會維護一個資料庫,內有所有主體識別碼,以及驗證所有主體所需的秘密金鑰。
調整 ACL 檔案︰新增管理員. KDC 上的 Kerberos 資料庫可遠端管理。為了防止未驗證的主體篡改資料庫,Kerberos 使用存取控制清單。您必須明確的啟用管理員主體的遠端權限,管理員才能對資料庫進行遠端管理。
調整 Kerberos 資料庫︰新增管理員. 您必須具備至少一個管理員主體,才能執行並管理 Kerberos。此主體必須在啟動 KDC 之前新增。
啟動 Kerberos 精靈. 安裝 KDC 並正確設定之後,請啟動 Kerberos 精靈,為您的領域提供 Kerberos 服務。
建立您自己的主體。.
下一步是啟始資料庫,Kerberos 將所有關於主體的資料保存在其中。請設定資料庫主要金鑰,這是用來保護資料庫免於意外洩漏,特別是在備份到磁帶時。主要金鑰衍生自通行短語 (pass phrase),儲存在名為貯藏檔 (stash file) 的檔案中。因此在您每次啟動 KDC 時,不須重新鍵入密碼。請確認您選擇良好的通行短語,例如來自書本中的句子。
當您在製作 Kerberos 資料庫 (/var/lib/kerberos/krb5kdc/principal
) 的磁帶備份時,請不要備份貯藏檔 (在 /var/lib/kerberos/krb5kdc/.k5.EXAMPLE.COM
)。否則,每一個可以讀取磁帶的人都可以解密資料庫。因此,最好將通行短語的副本保存在安全或其他受到安全的位置,因為在損毀之後,您將需要它才能從備份磁帶復原資料庫。
若要建立貯藏檔與資料庫,請執行:
$> kdb5_util create -r EXAMPLE.COM -s Initializing database '/var/lib/kerberos/krb5kdc/principal' for realm 'EXAMPLE.COM', master key name 'K/M@EXAMPLE.COM' You will be prompted for the database Master Password. It is important that you NOT FORGET this password. Enter KDC database master key: <= Type the master password. Re-enter KDC database master key to verify: <= Type it again. $>
若要確定它所做的事,請使用 list 指令:
$>kadmin.local kadmin> listprincs K/M@EXAMPLE.COM kadmin/admin@EXAMPLE.COM kadmin/changepw@EXAMPLE.COM krbtgt/EXAMPLE.COM@EXAMPLE.COM
這將會顯示目前在資料庫的主體數目。這些均供 Kerberos 內部使用。
下一步,建立兩個 Kerberos 主體︰一個一般主體用於日常工作,另一個用於 Kerberos 相關的管理任務。假設您的登入名稱為 newbie
,請繼續如下:
kadmin.local kadmin> ank newbie newbie@EXAMPLE.COM's Password: <type password here> Verifying password: <re-type password here>
接著,在 kadmin
提示輸入 anknewbie/admin
,建立名為 newbie/admin 的另一個主體。在您使用者名稱後的 admin
字尾是角色。稍後,會在管理 Kerberos 資料庫時使用此角色。使用者對於不同用途可有數個角色。角色基本上是有相似名稱的完全不同帳戶。