Networking  
 
Conhecimento computador >> Networking >> Segurança de Rede >> 
Kerberos Passo-a- Passo Tutorial
Kerberos é usado para autenticar os usuários através de uma rede não segura . Para fazer isso , o servidor eo cliente devem compartilhar uma chave comum usada para criptografar e descriptografar senhas. A distribuição de chaves é realizada por um Centro de Distribuição de Chave Mestra (KDC) . A redundância é incorporado ao sistema através da criação de um ou mais KDCs escravos. Configurando o Mestre

Antes de começar a configurar o Kerberos em seu sistema , você deve saber o nome do seu Kerberos, o nome do host dos Centros de Distribuição chave mestre e escravo (KDC) e como você está indo para mapear os nomes de máquinas no domínio Kerberos. Você vai precisar para determinar as portas que os KDCs e o acesso ao banco ( kadmin ) serviços vai usar. Você também terá que saber a freqüência com que os KDCs master e slave irá preencher o banco de dados .

Você vai usar as informações acima para configurar o mestre KDC . Os arquivos de configuração KDC mestre será encontrado em "/etc/krb5.conf " e "/usr/local/var/krb5kdc/kdc.conf " e pode ser editado em qualquer editor de texto. O arquivo " krb5.conf " contém informações sobre onde encontrar os KDCs e servidores de administração , bem como as informações de mapeamento nome do host. O arquivo " kdc.conf " contém as informações padrão usado na emissão de bilhetes Kerberos . Abra o " /etc/krb5.conf " e editar o "login ", " reinos " e "valores domain_realm " de modo que eles estão corretos para seu sistema. Mude o "/usr/local/var/krb5kdc/kdc.conf " para que ele reflita as informações corretas para o servidor KDC .

O próximo passo é criar o banco de dados. Abra um terminal e digite o comando " kdb5_util ". Você será solicitado a fornecer uma chave mestra . Esta deve ser uma seqüência de letras , números e caracteres especiais semelhantes a uma senha. Esta chave será armazenada em um arquivo stash no disco rígido do KDC . Se você preferir ser solicitado para a chave quando Kerberos começa , você pode optar por não criar o arquivo stash .

Finalmente, você irá criar a lista de controle de acesso (ACL) e adicione pelo menos um administrador para ele. O ACL é um arquivo de texto criado pelo usuário que é chamado de " /usr/local/var/krb5kdc/kadm5.acl ". Este arquivo deve ter o administrador listado no formulário: permissões Kerberos_principal [ target_principal ] [ restrições ] Uma vez que a lista ACL é criada , execute o comando " kadmin.local " e adicionar cada principal para o banco de dados. Inicie os daemons Kerberos com o comando " /usr/local/sbin/krb5kdc ; . /Usr /local /sbin /kadmin "
Criando o Arquivo Keytab

A arquivo keytab é usada para descriptografar os bilhetes Kerberos e determinar se o usuário deve ter acesso ao banco de dados . Para criar esse arquivo , digite o comando " kadmin.local " novamente. Isto irá fornecer-lhe com um prompt onde você vai digitar o comando : " ktadd -k /usr/local/var/krb5kdc/kadm5.keytab kadmin /admin kadmin /changepw " para criar o arquivo keytab . Substitua a seção " /usr/local/var/krb5kdc/kadm5.keytab " com a localização keytab que foi especificado no arquivo " /usr/local/var/krb5kdc/kdc.conf " . Digite "quit" para sair do " kadmin " utilidade .
Configurando o Slave KDCs

Para criar os KDCs escravos , você irá emitir o " kadmin . " comando local pela terceira vez. No prompt, execute o comando "host addprinc - randkey /example.com " para o mestre e cada escravo. Use o nome do host de cada KDC no lugar de " example.conf ". Isto irá criar chaves de host para cada um dos KDCs . Em seguida, extrair as chaves em cada um dos KDCs escravos , iniciando a utilidade " kadmin " em cada um dos escravos e emitindo o comando " ktadd host /MasterKDC.com ". Substituir " MasterKDC.com " com o nome do host do KDC mestre .

Para o banco de dados a ser propagada a partir do KDC mestre aos KDCs escravos você terá que criar um arquivo chamado "/usr /local /var /krb5kdc/kpropd.acl . " Este arquivo deve conter os princípios de cada um dos KDCs na forma " host /example.com ". Cada diretor deve ser colocado em sua própria linha

Em seguida , edite o arquivo "/etc /inetd.conf " em cada um dos KDCs e adicione as seguintes linhas: . Krb5_prop fluxo tcp nowait root /usr /local /sbin /kpropd kpropdeklogin stream tcp nowait root /usr /local /sbin /klogind klogind -k- c -e

editar o arquivo " /etc /services " em cada um dos KDCs e adicione as seguintes linhas: kerberos 88/udp kdc autenticação Kerberos # (UDP) kerberos 88/tcp kdc autenticação Kerberos # ( tcp) krb5_prop 754/tcp # Kerberos escravo propagationkerberos - adm 749/tcp # Kerberos 5 Ma /changepw ( tcp) kerberos - adm 749/udp # criptografado Kerberos 5 Ma /changepw (UDP) eklogin 2105/tcp # Kerberos rlogin
Propagando o banco de dados

Propagando o banco de dados é feita a partir do Mestre KDC . Emita o comando "/usr/local/sbin/kdb5_util despejo /usr/local/var/krb5kdc/slave_datatrans " para criar um dump do banco de dados. Em seguida, execute o comando "/usr /local /sbin /kprop -f /usr/local/var/krb5kdc/slave_datatrans Slave - 1.example.com " para propagar manualmente o banco de dados em cada um dos escravos .

Estas medidas terão de ser concluído em uma base regular. A maneira mais fácil de fazer isso é criar o script e executar o script como uma tarefa cron . O script deve ser semelhante a : # /bin /sh

kdclist = " slave- 1.example.com escravo 2.example.com "

/usr/local/sbin/kdb5_util "dump => /usr/local/var/krb5kdc/slave_datatrans "

para kdc em kdclistdo $ /usr /local /sbin /kprop -f /usr/local/var/krb5kdc/slave_datatrans $ kdcdone

claro, mudar os nomes de host para refletir os valores para o seu sistema .
Criar arquivos Stash sobre os Escravos

O passo final para a criação de Kerberos é criar arquivos Stash nas KDCs escravos. Em cada um dos KDCs escravos emitir o comando " esconderijo kdb5_util " e fornecer a chave mestra , quando solicitado. Uma vez que isso for concluído, você pode começar a " krb5kdc " daemon em cada escravo com o comando " /usr/local/sbin/krb5kdc /. "

Anterior :

Próximo : No
  Os artigos relacionados
·Como configurar Endian como uma ponte transparente 
·Como excluir os filtros da Internet 
·Protocolo de Transações Online 
·A ameaça de Hacking 
·Soluções de Defesa de Rede 
·Criptografado Protocolo 
·O que é 8e6 R3000 
·O que é um WPA Grupo Rekey Interval 
·Como encontrar endereços IP indesejados acessem seu co…
·Protocolos de Roteamento Seguro 
  Artigos em destaque
·Como verificar o status de uma conta de convidado Rede 
·O que é o ID do cliente DHCP 
·Como testar Meu EUA Tempo Ping 
·Como conectar um PC para o meu laptop conexão sem fio 
·Como instalar um modem em um computador eMachine 
·VMware não pode ping 
·Microsoft LLTD Protocolos 
·Como ligar um cabo Ethernet para abastecimento externo 
·Como alterar um nome de grupo Rede 
·Ferramentas Doação para páginas da Web 
Cop e direita © Conhecimento computador https://ptcomputador.com Todos os Direitos Reservados