In diesem Abschnitt wird die anfängliche Konfiguration und Installation des KDC erläutert, einschließlich dem Erstellen eines administrativen Prinzipals. Dieser Vorgang besteht aus mehreren Schritten:
Installieren der RPMs. Auf einer als KDC bestimmten Maschine installieren Sie spezielle Softwarepakete. Weitere Einzelheiten finden Sie unter Abschnitt 47.4.1, „Installieren der RPMs“.
Anpassen der Konfigurationsdateien.
Die Konfigurationsdateien /etc/krb5.conf
und /var/lib/kerberos/krb5kdc/kdc.conf
müssen Ihrem Szenario angepasst werden. Diese Dateien enthalten alle Informationen zum KDC.
Erstellen der Kerberos-Datenbank. Kerberos unterhält eine Datenbank aller Prinzipal-Kennungen und die geheimen Schlüssel aller Prinzipals, die beglaubigt werden müssen.
Anpassen der ACL-Dateien: Administratoren hinzufügen. Die Kerberos-Datenbank des KDC kann entfernt verwaltet werden. Damit der Zugriff auf die Datenbank durch unberechtigte Prinzipale verhindert wird, verwendet Kerberos Zugriffskontrolllisten (ACLs). Sie müssen den entfernten Zugriff für den Administrator-Prinzipal zum Verwalten der Datenbank explizit erlauben.
Erstellen der Kerberos-Datenbank: Administratoren hinzufügen. Sie benötigen zum Ausführen und Verwalten von Kerberos mindestens einen Administrator-Prinzipal. Dieser Prinzipal muss hinzugefügt werden, bevor das KDC gestartet wird.
Starten des Kerberos-Daemons. Sobald die KDC-Software installiert und korrekt konfiguriert ist, starten Sie den Kerberos-Daemon, damit die Dienste von Kerberos in Ihrem Bereich zur Verfügung stehen.
Erstellen eines Prinzipals für Sie selbst.
Vor dem Start installieren Sie die Kerberos-Software. Installieren Sie die Pakete krb5
, krb5-server
und krb5-client
auf dem KDC.
Ihr nächster Schritt ist die Initialisierung der Datenbank, in der Kerberos alle Informationen zu Prinzipalen speichert. Richten Sie den Datenbank-Master-Schlüssel ein, der die Datenbank vor versehentlicher Offenlegung schützt, vor allem wenn sie auf ein Band gesichert wird. Der Master-Schlüssel besteht aus einem Passwortsatz, der in einer Datei namens Stapeldatei gespeichert wird. So müssen Sie das Passwort nicht bei jedem Start des KDC erneut eingeben. Wählen Sie unbedingt eine gute Passphrase, wie einen Satz aus einem Buch, das Sie auf einer willkürlichen Seite öffnen.
Wenn Sie die Kerberos-Datenbank auf Band sichern (/var/lib/kerberos/krb5kdc/principal
), sollten Sie die Stapeldatei nicht mitsichern (Sie befindet sich unter /var/lib/kerberos/krb5kdc/.k5.EXAMPLE.COM
.). Anderenfalls kann jeder, der das Band liest, auch die Datenbank entschlüsseln. Daher sollten Sie eine Kopie der Passphrase in einem Safe oder an einem anderen sicheren Ort aufbewahren. Sie brauchen sie zum Wiederherstellen Ihrer Datenbank vom Band nach einem Absturz.
Zum Erstellen der Stapeldatei und der Datenbank führen Sie Folgendes aus:
$> kdb5_util create -r EXAMPLE.COM -s Initializing database '/var/lib/kerberos/krb5kdc/principal' for realm 'EXAMPLE.COM', master key name 'K/M@EXAMPLE.COM' You will be prompted for the database Master Password. It is important that you NOT FORGET this password. Enter KDC database master key: <= Type the master password. Re-enter KDC database master key to verify: <= Type it again. $>
Zum Überprüfen der Funktion verwenden Sie den Befehl "list":
$>kadmin.local kadmin> listprincs K/M@EXAMPLE.COM kadmin/admin@EXAMPLE.COM kadmin/changepw@EXAMPLE.COM krbtgt/EXAMPLE.COM@EXAMPLE.COM
Sie sehen, dass es eine Reihe von Prinzipalen in der Datenbank gibt. Alle sind für den internen Gebrauch von Kerberos bestimmt.
Als Nächstes erstellen Sie zwei Kerberos-Prinzipale für sich selbst: einen gewöhnlichen Prinzipal für die Arbeit und einen für die Verwaltungsaufgaben von Kerberos. Nehmen wir an, Ihr Anmeldename sei newbie
. Gehen Sie wie folgt vor:
kadmin.local kadmin> ank newbie newbie@EXAMPLE.COM's Password: <type password here> Verifying password: <re-type password here>
Als Nächstes erstellen Sie einen weiteren Prinzipal mit dem Namen newbie/admin
, indem Sie ank newbie/admin
beim kadmin-Prompt eingeben. Das Suffix admin
nach Ihrem Benutzernamen ist eine Rolle. Später verwenden wir diese Rolle bei der Verwaltung der Kerberos-Datenbank. Ein Benutzer kann für verschiedene Zwecke verschiedene Rollen haben. Rollen sind komplett verschiedene Konten mit ähnlichen Namen.
Starten Sie den KDC-Daemon und den kadmin-Daemon. Sie starten die Daemons manuell, indem Sie rckrb5kdc start und rckadmind start eingeben. Vergewissern Sie sich außerdem, dass KDC und kadmind standardmäßig beim Neustart der Servermaschine mit den Befehlen insserv krb5kdc
und insserv kadmind
gestartet werden.