| openSUSE-Dokumentation Teil VI. Sicherheit / Kapitel 39. Installation und Administration von Kerberos | ||||
|---|---|---|---|---|
 | 38.4. Weiterführende Informationen | 39.2. Auswählen der Kerberos-Bereiche |  | |
| openSUSE-Dokumentation Teil VI. Sicherheit / Kapitel 39. Installation und Administration von Kerberos | ||||
|---|---|---|---|---|
| 38.4. Weiterführende Informationen | 39.2. Auswählen der Kerberos-Bereiche | | |
Inhaltsverzeichnis
Eine Kerberos-Umgebung, wie sie unter Kapitel 38, Netzwerk-Authentifizierung – Kerberos beschrieben wird, besteht aus verschiedenen Komponenten. Ein Key Distribution Center (KDC) enthält die zentrale Datenbank mit allen Kerberos-relevanten Daten. Alle Clients benötigen das KDC für die ordnungsgemäße Authentifizierung im Netzwerk. Das KDC und die Clients müssen konfiguriert werden, um Ihrem Setup zu entsprechen:
Überprüfen Sie Ihr Netzwerk-Setup und stellen Sie sicher, dass es die unter Abschnitt 39.1, „Kerberos-Netzwerktopologie“ beschriebenen Mindestvoraussetzungen erfüllt. Wählen Sie einen passenden Bereich für das Kerberos-Setup aus, siehe Abschnitt 39.2, „Auswählen der Kerberos-Bereiche“. Richten Sie den Computer, der als KDC fungieren soll, mit Bedacht ein und wenden Sie strenge Sicherheitsvorkehrungen an, siehe Abschnitt 39.3, „Einrichten der KDC-Hardware“. Richten Sie eine verlässliche Zeitquelle im Netzwerk ein und stellen Sie sicher, dass alle Tickets gültige Zeitstempel enthalten, siehe Abschnitt 39.4, „Konfiguration der Zeitsynchronisierung“.
Konfigurieren Sie das KDC und die Clients, siehe Abschnitt 39.5, „Konfigurieren des KDC“ und Abschnitt 39.6, „Konfigurieren von Kerberos-Clients“ Aktivieren Sie die Remoteverwaltung für den Kerberos-Dienst, damit Sie keinen physikalischen Zugriff auf den KDC-Computer benötigen, siehe Abschnitt 39.7, „Konfigurieren der Kerberos-Remoteverwaltung“. Erstellen Sie Dienstprinzipalnamen für alle Dienste im Bereich, siehe Abschnitt 39.8, „Erstellen der Kerberos-Dienst-Prinzipale“.
Verschiedene Dienste im Netzwerk können Kerberos nutzen. Gehen Sie wie in Abschnitt 39.9, „Aktivieren der PAM-Unterstützung für Kerberos“ erläutert vor, um Kerberos-Passwortüberprüfung zu Anwendungen, die PAM verwenden, hinzuzufügen. Um SSH oder LDAP mit Kerberos-Authentifizierung zu konfigurieren, gehen Sie wie unter Abschnitt 39.10, „Konfigurieren von SSH für die Kerberos-Authentifizierung“ und Abschnitt 39.11, „Verwenden von LDAP und Kerberos“ beschrieben vor.
Alle Kerberos-Umgebungen müssen den folgenden Anforderungen entsprechen, um voll funktionsfähig zu sein:
Geben Sie einen DNS-Server für die Namensauflösung im Netzwerk an, damit Clients und Server sich gegenseitig finden können. Informationen zum DNS-Setup finden Sie unter Kapitel 22, Domain Name System (DNS).
Stellen Sie einen Zeitserver im Netzwerk bereit. Das Verwenden exakter Zeitstempel ist beim Kerberos-Setup von zentraler Bedeutung, da gültige Kerberos-Tickets korrekte Zeitstempel enthalten müssen. Informationen zum NTP-Setup finden Sie unter Kapitel 24, Zeitsynchronisierung mit NTP.
Stellen Sie ein Key Distribution Center (KDC) als Zentralstück der Kerberos-Architektur bereit. Es enthält die Kerberos-Datenbank. Verwenden Sie die auf diesem Computer höchstmögliche Sicherheitsrichtlinie, um Angriffe auf diesen Computer zu verhindern, die Ihre gesamte Infrastruktur beschädigen könnten.
Konfigurieren Sie die Clientcomputer für die Verwendung der Kerberos-Authentifizierung.
Die folgende Abbildung zeigt ein einfaches Beispielnetzwerk mit den für das Erstellen einer Kerberos-Infrastruktur mindestens erforderlichen Komponenten. Je nach Größe und Topologie Ihrer Bereitstellung müssen Sie möglicherweise ein anderes Setup verwenden.
![[Tip]](admon/tip.png) | Konfigurieren des Teilnetz-Routings |
|---|---|
Für ein Setup ähnlich dem in Abbildung 39.1, „Kerberos-Netzwerktopologie“ müssen Sie ein Routing zwischen den beiden Teilnetzen (192.168.1.0/24 and 192.168.2.0/24) konfigurieren. Weitere Informationen zum Konfigurieren des Routings mit YaST finden Sie unter Abschnitt 20.4.1.1.4, „Konfigurieren des Routing“. | |
