Kapitel 47. Installation und Administration von Kerberos

Inhaltsverzeichnis

47.1. Auswählen der Kerberos-Bereiche
47.2. Einrichten der KDC-Hardware
47.3. Uhrensynchronisation
47.4. Konfigurieren des KDC
47.5. Manuelles Konfigurieren der Kerberos-Clients
47.6. Konfigurieren eines Kerberos-Clients mit YaST
47.7. Entfernte Kerberos-Administration
47.8. Erstellen der Kerberos-Host-Prinzipals
47.9. Aktivieren der PAM-Unterstützung für Kerberos
47.10. Konfigurieren von SSH für die Kerberos-Authentifizierung
47.11. Verwenden von LDAP und Kerberos

In diesem Abschnitt werden die Installation der MIT Kerberos-Implementierung sowie einige administrative Aspekte erläutert. Es wird davon ausgegangen, dass Sie mit den grundlegenden Kerberos-Konzepten vertraut sind (siehe auch Kapitel 46, Netzwerkauthentifizierung – Kerberos).

47.1. Auswählen der Kerberos-Bereiche

Die Domäne einer Kerberos-Installation wird als Bereich bezeichnet und mit einem Namen identifiziert, z. B. FOOBAR.COM oder einfach BUCHHALTUNG. Kerberos unterstützt die Groß-/Kleinschreibung, daher ist foobar.com ein anderer Bereich als FOOBAR.COM. Verwenden Sie nach Ihrem Belieben Groß- oder Kleinschreibung. Gewöhnlich verwendet man jedoch Bereichsnamen in Großbuchstaben.

Daher ist eine gute Wahl Ihr DNS Domain Name (oder eine Unterdomäne, wie ACCOUNTING.FOOBAR.COM). Wie Sie im Folgenden sehen werden, wird Ihre Arbeit als Administrator wesentlich einfacher, wenn Sie Ihre Kerberos-Clients so konfigurieren, dass die KDC- und andere Kerberos-Dienste über DNS gesucht werden. Dafür ist es hilfreich, wenn Ihr Bereichsname eine Unterdomäne Ihres DNS Domain Name ist.

Anders als der DNS-Namespace ist Kerberos nicht hierarchisch. Sie können keinen Bereich namens FOOBAR.COM einrichten, zwei „Unterbereiche“ namens ENTWICKLUNG und BUCHHALTUNG darunter einrichten und erwarten, dass die beiden untergeordneten Bereiche die Prinzipale von FOOBAR.COM erben. Stattdessen benötigen Sie drei separate Bereiche, für die Sie eine bereichsübergreifende Authentifizierung konfigurieren müssen, damit Benutzer mit Servern oder Benutzern aus anderen Bereichen kommunizieren können.

Lassen Sie uns der Einfachheit halber annehmen, Sie richten für Ihr gesamtes Unternehmen nur einen Bereich ein. Im Weiteren wird daher der Bereichsname BEISPIEL.COM für alle Beispiele verwendet.