Konfigurere Linux for å autentisere Kerberos

Kerberos er fortsatt en av de mest sikre autentiseringsprotokollene for de fleste arbeidsmiljøer. Det gir pålitelige enkeltsignaler eller nettverkspålogginger for brukere på tvers av ikke-sikre nettverk. Ideelt sett gir Kerberos brukere billetter for å hjelpe dem med å minimere hyppig bruk av passord over nettverk.

Hyppig bruk av passord øker muligheten for et datainnbrudd eller passordtyveri. Men som de fleste autentiseringsprotokoller, er din suksess med Kerberos avhengig av riktig installasjon og oppsett.

Mange mennesker synes noen ganger konfigurerer Linux for å bruke Kerberos en kjedelig oppgave. Dette kan være sant for førstegangsbrukere. Å konfigurere Linux for å autentisere med Kerberos er imidlertid ikke så komplisert som du tror.

Denne artikkelen gir deg en trinn-for-trinns guide om konfigurering av Linux for å autentisere ved hjelp av Kerberos. Blant de tingene du vil lære av denne oppskrivningen inkluderer:

• Sette serverne dine
• Forutsetningene som er nødvendige for Linux Kerberos -konfigurasjon
• Sette opp KDC og databaser
• Kerberos Service Management and Administration

Trinnvis guide for hvordan du konfigurerer Linux for å autentisere ved hjelp av Kerberos

Følgende trinn skal hjelpe deg med å konfigurere Linux til å autentisere med Kerberos

Trinn 1: Forsikre deg om at begge maskinene oppfyller forutsetninger for å konfigurere Kerberos Linux

Først må du sørge for at du gjør følgende før du begynner konfigurasjonsprosessen:

1. Du må ha et funksjonelt Kerberos Linux -miljø. Spesielt må du sørge for at du har en Kerberos -server (KDC) og Kerberos -klient som er satt opp i separate maskiner. La oss anta at serveren er betegnet med følgende internettprotokolladresser: 192.168.1.14, og klienten kjører på følgende adresse 192.168.1.15. Klienten ber om billetter fra KDC.
2. Tidssynkronisering er obligatorisk. Du vil bruke nettverkstidssynkronisering (NTP) for å sikre at begge maskinene kjøres i samme tidsramme. Enhver tidsforskjell på mer enn 5 minutter vil resultere i en mislykket autentiseringsprosess.
3. Du trenger en DNS for autentiseringen. Domain Network -tjenesten vil bidra til å løse konflikter i systemmiljøet.

Trinn 2: Sett opp et nøkkelfordelingssenter

Du bør allerede ha en funksjonell KDC som du hadde satt opp under installasjonen. Du kan kjøre kommandoen nedenfor på KDC:

Trinn 3: Kontroller de installerte pakkene

Undersøk/ etc/ krb5.konf fil for å finne ut hvilke pakker som finnes. Nedenfor er en kopi av standardkonfigurasjonen:

Trinn 4: Rediger standard/var/kerberos/krb5kdc/kdc.Conf -fil

Etter vellykket konfigurasjon kan du redigere/var/kerberos/krb5kdc/kdc.Conf -fil ved å fjerne eventuelle kommentarer i Realm -delen, Default_reams og endre dem slik at de passer til Kerberos -miljøet ditt.

Trinn 5: Opprett Kerberos -databasen

Etter vellykket bekreftelse av detaljene over, fortsetter vi med å opprette Kerberos -databasen ved hjelp av KDB_5. Passordet du opprettet er viktig her. Den vil fungere som vår masternøkkel som vi vil bruke den til å kryptere databasen for sikker lagring.

Kommandoen over vil utføre i ett minutt for å laste inn tilfeldige data. Å flytte musen rundt pressen holder eller i GUI vil potensielt feste prosessen.

Trinn 6: Tjenestestyring

Neste trinn er Service Management. Du kan automatisk starte systemet ditt for å aktivere Kadmin- og KRB5KDC -servere. KDC -tjenestene dine vil automatisk konfigurere etter at du har startet systemet på nytt.

Trinn 7: Konfigurer brannmurene

Hvis utførelsen av trinnene ovenfor er vellykket, bør du flytte for å konfigurere brannmuren. Brannmurkonfigurasjon innebærer å sette de riktige brannmurreglene som gjør det mulig for systemet å kommunisere med KDC -tjenester.

Kommandoen nedenfor skal komme til nytte:

Trinn 8: Test om KRB5KDC kommuniserer med portene

Den initialiserte Kerberos -tjenesten skal tillate trafikk fra TCP og UDP Port 80. Du kan utføre bekreftelsestesten for å finne ut dette.

I dette tilfellet har vi tillatt Kerberos å støtte trafikk som krever Kadmin TCP 740. Protokollen for ekstern tilgang vil vurdere konfigurasjonen og forbedre sikkerhet for lokal tilgang.

Trinn 9: Kerberos Administration

Administrer nøkkeldistribusjonssenteret ved hjelp av Kadnim.Lokal kommando. Dette trinnet lar deg få tilgang til og se innholdet i Kadmin.lokal. Du kan bruke “?”Kommando for å se hvordan Addprinc brukes på brukerkontoen for å legge til en rektor.

Trinn 10: Sett opp klienten

Det viktigste distribusjonssenteret vil godta tilkoblinger og tilby billetter til brukere til dette punktet. Noen få metoder er nyttige for å sette opp klientkomponenten. Vi vil imidlertid bruke den grafiske brukerprotokollen for denne demonstrasjonen, da den er enkel og rask å implementere.

Først må vi installere AuthConfig-GTK-applikasjonen ved å bruke kommandoene nedenfor:

Autentiseringskonfigurasjonsvinduet vises etter å ha fullført konfigurasjonen og kjørt kommandoen over i terminalvinduet. Neste trekk er å velge LDAP-elementet fra rullegardinmenyen Identity and Autentisering og skriv inn Kerberos som passord som tilsvarer riket og nøkkeldistribusjonssenterinformasjonen. I dette tilfellet, 192.168.1.14 er internettprotokollen.

Bruk disse modifikasjonene en gang gjort.

Konklusjon

Du vil ha en fullstendig konfigurert Kerberos og klientserveren etter installasjon når du fullfører trinnene ovenfor. Guiden over tar en gjennom prosessen med å konfigurere Linux for å autentisere med Kerberos. Selvfølgelig kan du opprette en bruker.