| openSUSE-Dokumentation Kapitel 39. Installation und Administration von Kerberos / 39.5. Konfigurieren des KDC | ||||
|---|---|---|---|---|
 | 39.4. Konfiguration der Zeitsynchronisierung | 39.6. Konfigurieren von Kerberos-Clients |  | |
| openSUSE-Dokumentation Kapitel 39. Installation und Administration von Kerberos / 39.5. Konfigurieren des KDC | ||||
|---|---|---|---|---|
| 39.4. Konfiguration der Zeitsynchronisierung | 39.6. Konfigurieren von Kerberos-Clients | | |
In diesem Abschnitt wird die anfängliche Konfiguration und Installation des KDC erläutert, einschließlich dem Erstellen eines administrativen Prinzipals. Dieser Vorgang besteht aus mehreren Schritten:
Installieren der RPMs.
Auf einer als KDC bestimmten Maschine installieren Sie spezielle Softwarepakete. Verwenden Sie YaST für die Installation der krb5-, krb5-Server- und krb5-Client-Pakete
Anpassen der Konfigurationsdateien.
Die Konfigurationsdateien /etc/krb5.conf und /var/lib/kerberos/krb5kdc/kdc.conf müssen Ihrem Szenario angepasst werden. Diese Dateien enthalten alle Informationen zum KDC.
Erstellen der Kerberos-Datenbank. Kerberos unterhält eine Datenbank aller Prinzipal-Kennungen und die geheimen Schlüssel aller Prinzipals, die beglaubigt werden müssen. Weitere Informationen finden Sie unter Abschnitt 39.5.1, „Einrichten der Datenbank“.
Anpassen der ACL-Dateien: Hinzufügen von Administratoren.
Die Kerberos-Datenbank des KDC kann entfernt verwaltet werden. Damit der Zugriff auf die Datenbank durch unberechtigte Prinzipale verhindert wird, verwendet Kerberos Zugriffskontrolllisten. Sie müssen den entfernten Zugriff für den Administrator-Prinzipal zum Verwalten der Datenbank explizit erlauben. Die Kerberos-ACL-Datei befindet sich unter /var/lib/kerberos/krb5kdc/kadm5.acl. Weitere Informationen finden Sie unter Abschnitt 39.7, „Konfigurieren der Kerberos-Remoteverwaltung“.
Anpassen der Kerberos-Datenbank: Hinzufügen von Administratoren. Sie benötigen zum Ausführen und Verwalten von Kerberos mindestens einen Administrator-Prinzipal. Dieser Prinzipal muss hinzugefügt werden, bevor das KDC gestartet wird. Weitere Informationen finden Sie unter Abschnitt 39.5.2, „Erstellen eines Prinzipals“.
Starten des Kerberos-Daemons. Sobald die KDC-Software installiert und korrekt konfiguriert ist, starten Sie den Kerberos-Daemon, damit die Dienste von Kerberos in Ihrem Bereich zur Verfügung stehen. Weitere Informationen finden Sie unter Abschnitt 39.5.3, „Starten des KDC“.
Erstellen eines Prinzipals für Sie selbst. Sie selbst benötigen einen Prinzipal. Weitere Informationen finden Sie unter Abschnitt 39.5.2, „Erstellen eines Prinzipals“.
Ihr nächster Schritt ist die Initialisierung der Datenbank, in der Kerberos alle Informationen zu Prinzipalen speichert. Richten Sie den Datenbank-Master-Schlüssel ein, der die Datenbank vor versehentlicher Offenlegung schützt, vor allem wenn sie auf ein Band gesichert wird. Der Master-Schlüssel besteht aus einem Passwortsatz, der in einer Datei namens Stapeldatei gespeichert wird. So müssen Sie das Passwort nicht bei jedem Start des KDC erneut eingeben. Wählen Sie unbedingt eine gute Passphrase, wie einen Satz aus einem Buch, das Sie auf einer willkürlichen Seite öffnen.
Wenn Sie die Kerberos-Datenbank auf Band sichern (/var/lib/kerberos/krb5kdc/principal), sollten Sie die Stapeldatei nicht mitsichern (Sie befindet sich unter /var/lib/kerberos/krb5kdc/.k5.EXAMPLE.COM.). Anderenfalls kann jeder, der das Band liest, auch die Datenbank entschlüsseln. Daher sollten Sie eine Kopie der Passphrase in einem Safe oder an einem anderen sicheren Ort aufbewahren. Sie brauchen sie zum Wiederherstellen Ihrer Datenbank vom Band nach einem Absturz.
Zum Erstellen der Stapeldatei und der Datenbank führen Sie Folgendes aus:
$> kdb5_util create -r EXAMPLE.COM -s Initializing database '/var/lib/kerberos/krb5kdc/principal' for realm 'EXAMPLE.COM', master key name 'K/M@EXAMPLE.COM' You will be prompted for the database Master Password. It is important that you NOT FORGET this password. Enter KDC database master key: <= Type the master password. Re-enter KDC database master key to verify: <= Type it again. $>
Zum Überprüfen der Funktion verwenden Sie den Befehl "list":
$>kadmin.local kadmin> listprincs K/M@EXAMPLE.COM kadmin/admin@EXAMPLE.COM kadmin/changepw@EXAMPLE.COM krbtgt/EXAMPLE.COM@EXAMPLE.COM
Sie sehen, dass es eine Reihe von Prinzipalen in der Datenbank gibt. Alle sind für den internen Gebrauch von Kerberos bestimmt.
Erstellen Sie als nächstes zwei Kerberos-Prinzipale für sich selbst: einen normalen Prinzipal für die täglich anfallenden Arbeiten und einen für auf Kerberos- bezogene Verwaltungsaufgaben. Nehmen wir an, Ihr Anmeldename sei newbie. Gehen Sie wie folgt vor:
kadmin.local kadmin> ank newbie newbie@EXAMPLE.COM's Password: <type password here> Verifying password: <re-type password here>
Erstellen Sie einen weiteren Prinzipal mit dem Namen newbie/admin, indem Sie an der Eingabeaufforderung kadmin den Eintrag ank newbie/admin eingeben. Das Suffix admin nach Ihrem Benutzernamen ist eine Rolle. Später verwenden wir diese Rolle bei der Verwaltung der Kerberos-Datenbank. Ein Benutzer kann für verschiedene Zwecke verschiedene Rollen haben. Rollen sind komplett verschiedene Konten mit ähnlichen Namen.
Starten Sie den KDC-Daemon und den kadmin-Daemon. Um die Daemons manuell zu starten, geben Sie rckrb5kdc start und rckadmind start ein. Stellen Sie darüber hinaus sicher, dass KDC und kadmind standardmäßig gestartet werden, wenn der Server mit den Befehlen insserv krb5kdc und insserv kadmind neu gebootet wird.
