Hva er Kerberos Linux
Denne protokollen lar deg bruke et hvilket som helst Kerberos-aktivert program på Linux OS uten å taste inn passord hver gang. Kerberos er også kompatibel med andre store operativsystemer som Apple Mac OS, Microsoft Windows og FreeBSD.
Hovedformålet med Kerberos Linux er å gi et middel for brukere å pålitelig og autentisere seg sikkert på programmer som de bruker i operativsystemet. De som er ansvarlige for å autorisere brukere til å få tilgang til disse systemene eller programmene på plattformen. Kerberos kan enkelt grensesnitt mot sikre regnskapssystemer, og sikre at protokollen effektivt fullfører AAA -triaden ved å autentisere, autorisere og regnskapssystemer.”
Denne artikkelen fokuserer bare på Kerberos Linux. Og bortsett fra den korte introduksjonen, vil du også lære følgende;
- Komponenter i Kerberos -protokollen
- Konsepter av Kerberos -protokollen
- Miljøvariabler som påvirker driften og ytelsen til Kerberos-aktiverte programmer
- En liste over vanlige Kerberos -kommandoer
Komponenter i Kerberos -protokollen
Mens den siste versjonen ble utviklet for Project Athena ved MIT (Massachusetts Institute of Technology), startet utviklingen av denne intuitive protokollen på 1980 -tallet og ble først publisert i 1983. Den henter navnet fra Cerberos, gresk mytologi, og har 3 komponenter, inkludert;
- En primær eller hovedstol er en hvilken som helst unik identifikator som protokollen kan tildele billetter. En rektor kan enten være en applikasjonstjeneste eller en klient/bruker. Så du vil ende opp med en tjenesteleder for applikasjonstjenester eller en bruker -ID for brukere. Brukernavn for det primære for brukere, mens en tjenestes navn er det primære for tjenesten.
- En Kerberos nettverksressurs; er et system eller applikasjon som gir tilgang til nettverksressursen som krever autentisering gjennom en Kerberos -protokoll. Disse serverne kan inkludere ekstern databehandling, terminalemulering, e -post og fil- og utskriftstjenester.
- Et sentralt distribusjonssenter eller KDC er protokollens pålitelige autentiseringstjeneste, database og billettstøttingstjeneste eller TGS. Dermed har en KDC 3 hovedfunksjoner. Det er stolt av gjensidig autentisering og lar noder bevise sin identitet på riktig måte for hverandre. Den pålitelige Kerberos -autentiseringsprosessen utnytter en konvensjonell delt hemmelig kryptografi for å garantere sikkerheten til informasjonspakker. Denne funksjonen gjør informasjon uleselig eller uforanderlig over forskjellige nettverk.
Kjernebegrepene til Kerberos -protokollen
Kerberos gir en plattform for servere og klienter å utvikle en kryptert krets for å sikre at all kommunikasjon i nettverket forblir privat. For å nå sine mål stavet Kerberos -utviklere ut visse konsepter for å veilede bruken og strukturen, og de inkluderer;
- Det skal aldri tillate overføring av passord over et nettverk da angripere kan få tilgang til, avlytting og avskjære bruker -ID -er og passord.
- Ingen lagring av passord i klartekst på klientsystemer eller på autentiserende servere
- Brukere skal bare oppgi passord når hver økt (SSO), og de kan godta alle programmer og systemer de er autorisert til å få tilgang til.
- En sentral server lagrer og opprettholder alle autentiseringsinformasjonene til hver bruker. Dette gjør beskyttelse av brukeropplysning til en lek. Selv om applikasjonsserverne ikke vil lagre noen brukers autentiseringsinformasjon, tillater den en rekke applikasjoner. Administratoren kan tilbakekalle enhver brukers tilgang til en hvilken som helst applikasjonsserver uten å få tilgang til serverne sine. En bruker kan endre eller endre passordene sine bare en gang, og de vil fortsatt kunne få tilgang til alle tjenester eller programmer de har myndighet til å få tilgang til.
- Kerberos -servere jobber i begrenset rikene. Domenenavnsystemer identifiserer riker, og rektorens domene er der Kerberos -serveren opererer.
- Både brukere og applikasjonsservere må autentisere seg når det blir bedt om det.Mens brukere bør autentisere under pålogging, kan det hende at applikasjonstjenester må autentisere til klienten.
Kerberos miljøvariabler
Spesielt fungerer Kerberos under visse miljøvariabler, med variablene som direkte påvirker driften av programmer under Kerberos. Viktige miljøvariabler inkluderer KRB5_KTNAME, KRB5CCNAME, KRB5_KDC_PROFIL, KRB5_TRACE, KRB5RCACHETYPE, og KRB5_CONFIG.
KRB5_CONFIG -variabelen sier plasseringen av viktige fanerfiler. Vanligvis vil en nøkkelfanefil ha form av Type: Rest. Og hvor ingen type eksisterer, gjenværende blir banenavnet til filen. KRB5CCNAME definerer legitimasjonsbufrenes beliggenhet og eksisterer i form av Type: Rest.
KRB5_CONFIG -variabelen spesifiserer konfigurasjonsfilens plassering, og KRB5_KDC_Profile sier plasseringen av KDC -filen med ytterligere konfigurasjonsdirektiver. I kontrast spesifiserer KRB5RCACHETYPE -variabelen standardtyper av repetisjonsbuffer som er tilgjengelige for serverne. Til slutt gir KRB5_Trace -variabelen filnavnet som du skal skrive sporutgangen.
En bruker eller en rektor må deaktivere noen av disse miljøvariablene for forskjellige programmer. For eksempel, setuid eller påloggingsprogrammer skal forbli ganske sikre når de kjøres gjennom ikke -tillitsfulle kilder; Derfor trenger ikke variablene å være aktive.
Vanlige Kerberos Linux -kommandoer
Denne listen består av noen av de mest viktige Kerberos Linux -kommandoene i produktet. Selvfølgelig vil vi diskutere dem i lengden i andre deler av dette nettstedet.
| Kommando | Beskrivelse |
|---|---|
| /usr/bin/kinit | Skaffer og hurtig |
| /usr/bin/klist | Viser eksisterende Kerberos -billetter |
| /usr/bin/ftp | Kommando for filoverføring |
| /usr/bin/kdestroy | Kerberos Ticket Destruction Program |
| /usr/bin/kpasswd | Endrer passord |
| /usr/bin/rdist | Distribuerer eksterne filer |
| /usr/bin/rlogin | En ekstern påloggingskommando |
| /usr/bin/ktutil | Administrerer viktige fanefiler |
| /usr/bin/rcp | Kopierer filer eksternt |
| /usr/lib/krb5/kprop | Et databaseutbredelsesprogram |
| /usr/bin/telnet | Et telnetprogram |
| /usr/bin/rsh | Et eksternt skallprogram |
| /usr/sbin/gsscred | Administrerer GSSCred -bordoppføringer |
| /usr/sbin/kdb5_ldap_uti | Oppretter LDAP -containere for databaser i Kerberos |
| /usr/sbin/kgcmgr | Konfigurerer Master KDC og Slave KDC |
| /usr/sbin/kclient | Et klientinstallasjonsskript |
Konklusjon
Kerberos på Linux regnes som den mest sikre og mye brukte autentiseringsprotokollen. Det er modent og trygt, derav ideell for å autentisere brukere i et Linux -miljø. Dessuten kan Kerberos kopiere og utføre kommandoer uten uventede feil. Den bruker et sett med sterk kryptografi for å beskytte sensitiv informasjon og data på tvers av forskjellige usikrede nettverk.