Bruk Kerberos -tjeneste på Linux
Kerberos er fortsatt en av de mest sikre autentiseringsprotokollene i Linux -miljøer. Du vil finne ut senere at Kerberos også kommer til nytte for krypteringsformål.
Denne artikkelen diskuterer hvordan du implementerer Kerberos -tjenesten på Linux -operativsystemet. Guiden tar deg gjennom de obligatoriske trinnene som sikrer at Kerberos -tjenesten på et Linux -system er vellykket.
Bruker Kerberos Service på Linux: En oversikt
Essensen av godkjenning er å gi en pålitelig prosess for å sikre at du identifiserer alle brukerne i arbeidsstasjonen din. Det hjelper også til å kontrollere hva brukere kan få tilgang til. Denne prosessen er ganske vanskelig i åpne nettverksmiljøer med mindre du utelukkende er avhengige av å signere på hvert program av hver bruker ved å bruke passord.
Men i vanlige tilfeller må brukerne taste inn passord for å få tilgang til hver tjeneste eller applikasjon. Denne prosessen kan være hektisk. Igjen, bruk av passord hver gang er en oppskrift på passordlekkasje eller sårbarhet for nettkriminalitet. Kerberos kommer godt med i disse tilfellene.
I tillegg til at brukere bare kan registrere seg en gang og få tilgang til alle applikasjonene, lar Kerberos også administratoren kontinuerlig veterinær det hver bruker kan få tilgang til. Ideelt sett tar det å bruke Kerberos Linux med hell å adressere følgende;
- Forsikre deg om at hver bruker har sin unike identitet og ingen bruker tar andres identitet.
- Forsikre deg om at hver server har sin unike identitet og beviser den. Dette kravet forhindrer muligheten for at angripere kryper inn for å etterligne servere.
Trinnvis guide for hvordan du bruker Kerberos i Linux
Følgende trinn hjelper deg med å bruke Kerberos i Linux med hell:
Trinn 1: Bekreft om du har KBR5 installert i maskinen din
Sjekk om du har den siste Kerberos -versjonen installert ved hjelp av kommandoen nedenfor. Hvis du ikke har det, kan du laste ned og installere KBR5. Vi har allerede diskutert installasjonsprosessen i en annen artikkel.
Trinn 2: Lag en søkevei
Du må lage en søkevei ved å legge til /usr/kerberos/bin og/usr/kerberos/sbin til søkeveien.
Trinn 3: Sett opp riket ditt
Det virkelige navnet ditt skal være DNS -domenenavnet ditt. Denne kommandoen er:
Du må endre resultatene fra denne kommandoen for å passe til ditt rike miljø.
Trinn 4: Opprett og start KDC -databasen for rektoren
Opprett et nøkkeldistribusjonssenter for hoveddatabasen. Dette er selvfølgelig også poenget når du trenger å opprette hovedpassordet ditt for operasjonene. Denne kommandoen er nødvendig:
Når du er opprettet, kan du starte KDC ved å bruke kommandoen nedenfor:
Trinn 5: Sett opp en personlig Kerberos -rektor
Det er på tide å sette opp en KBR5 -rektor for deg. Det skal ha administrative privilegier siden du trenger privilegiene for å administrere, kontrollere og kjøre systemet. Du må også opprette en verts rektor for verten KDC. Turm om denne kommandoen vil være:
# kadmind [-m]
Det er på dette tidspunktet du kanskje trenger å konfigurere Kerberos. Gå til standarddomenet i filen “/etc/KRB5.konfigurasjon ”og legg inn følgende DEAFAULT_REALM = ist.Utl.Pt. Riket skal også matche domenenavnet. I dette tilfellet Kenhint.Com er domenekonfigurasjonen som kreves for domenetjenesten i primærmesteren.
Etter å ha fullført prosessene ovenfor, vises et vindu som fanger opp sammendraget av nettverksressursstatusen frem til dette punktet, som vist nedenfor:
Det anbefales at nettverksvalider brukere. I dette tilfellet har vi Kenhint bør ha en UID i et høyere område enn lokale brukere.
Trinn 6: Bruk Kerberos Kinit Linux -kommandoen for å teste ny rektor
Kinit -verktøyet brukes til å teste den nye rektoren som er opprettet som fanget nedenfor:
Trinn 7: Lag kontakt
Å lage kontakt er et utrolig viktig trinn. Kjør både billett-girserveren og autentiseringsserveren. Billett-støtteserveren vil være på en dedikert maskin som bare er tilgjengelig av administratoren over nettverket og fysisk. Reduser alle nettverkstjenestene til færrest mulig. Du skal ikke engang kjøre SSHD -tjenesten.
Som enhver påloggingsprosess, vil din første interaksjon med KBR5 innebære å taste inn visse detaljer. Når du har angitt brukernavnet ditt, vil systemet sende informasjonen til Linux Kerberos -godkjenningsserveren. Når autentiseringsserveren identifiserer deg, vil den generere en tilfeldig økt for fortsatt korrespondanse mellom billett-støtteserveren og klienten din.
Billetten vil vanligvis inneholde følgende detaljer:
Navn på både billettstipendeserveren og klienten
- Billett levetid
- Nåværende tid
- Den nye generasjonsnøkkelen
- IP -adressen til klienten
Trinn 8: Test ved hjelp av Kinit Kerberos -kommandoen for å skaffe brukeropplysning
Under installasjonsprosessen er standarddomenet satt til IST.Utl. PT etter installasjonspakken. Etter det kan du skaffe deg en billett ved hjelp av Kinit -kommandoen som fanget på bildet nedenfor:
I skjermbildet over refererer Istkenhint til bruker -ID. Denne bruker -IDen vil også komme med et passord for å bekrefte om en gyldig Kerberos -billett eksisterer. Kinit -kommandoen brukes til å vise eller hente billetter og legitimasjon som er til stede i nettverket.
Etter installasjon kan du bruke denne standard Kinit -kommandoen til å skaffe en billett hvis du ikke har et tilpasset domene. Du kan også tilpasse et domene helt.
I dette tilfellet er Istkenhint den tilsvarende nettverks -ID.
Trinn 9: Test administratorsystemet ved å bruke passordet som er oppnådd tidligere
Dokumentasjonsresultatene er representert nedenfor etter en vellykket kjøring av kommandoen ovenfor:
Trinn 10: Start på nytt Kadmin Service
Start serveren på nytt med # kadmind [-m] Kommando gir deg tilgang til kontrolllisten over brukere på listen.
Trinn 11: Overvåk hvordan systemet ditt presterer
Skjermbildet nedenfor fremhever kommandoene som er lagt til i/etc/named/db.Kenhint.com for å støtte klienter i automatisk å bestemme nøkkeldistribusjonssenteret for riket som bruker DNS SRV -elementene.
Trinn 12: Bruk Klist -kommandoen til å undersøke billetten din og legitimasjonen
Etter å ha lagt inn riktig passord, vil Klist -verktøyet vise informasjonen nedenfor om tilstanden til Kerberos -tjenesten som kjører i Linux -systemet, som vist på skjermdumpen nedenfor:
Cache -mappen KRB5CC_001 inneholder denotasjonen KRB5CC_ og brukeridentifikasjon som angitt i de tidligere skjermbildene. Du kan legge til en oppføring i /etc /hosts -filen for KDC -klienten for å etablere identitet med serveren som angitt nedenfor:
Konklusjon
Etter å ha fullført trinnene ovenfor, er Kerberos -riket og tjenestene som er initiert av Kerberos -serveren klare og kjører på Linux -systemet. Du kan fortsette å bruke Kerberos for å autentisere andre brukere og redigere brukerrettigheter.