| openSUSE-Dokumentation Kapitel 39. Installation und Administration von Kerberos / 39.3. Einrichten der KDC-Hardware | ||||
|---|---|---|---|---|
 | 39.2. Auswählen der Kerberos-Bereiche | 39.4. Konfiguration der Zeitsynchronisierung |  | |
| openSUSE-Dokumentation Kapitel 39. Installation und Administration von Kerberos / 39.3. Einrichten der KDC-Hardware | ||||
|---|---|---|---|---|
| 39.2. Auswählen der Kerberos-Bereiche | 39.4. Konfiguration der Zeitsynchronisierung | | |
Zum Einsatz von Kerberos benötigen Sie zuallererst eine Maschine, die als Schlüsselverteilungszentrum (Key Distribution Center = KDC) fungiert. Diese Maschine enthält die gesamte Kerberos-Benutzerdatenbank mit Passwörtern und allen Informationen.
Das KDC ist der wichtigste Teil Ihrer Sicherheitsinfrastruktur. Bei einem unberechtigten Zugriff sind alle Benutzerkonten und Ihre gesamte, von Kerberos geschützte, Infrastruktur gefährdet. Ein Angreifer mit Zugriff auf die Kerberos-Datenbank kann die Identität jedes Prinzipals in der Datenbank übernehmen. Erhöhen Sie die Sicherheit für diese Maschine so weit wie möglich:
Stellen Sie den Server an einen sicheren Ort, beispielsweise in einen verschlossenen Serverraum, zu dem nur sehr wenige Personen Zugang haben.
Führen Sie keine Netzwerkanwendungen darauf aus, außer dem KDC. Dies gilt auch für Server und Clients. Das KDC sollte beispielsweise keine Dateisysteme über NFS importieren oder DHCP zum Abrufen der Netzwerkkonfiguration verwenden.
Installieren Sie zuerst ein minimales System. Wählen Sie dann die Liste der installierten Pakete aus und entfernen Sie alle unnötigen. Dazu gehören Server, wie inetd, portmap und cups sowie alle Programme auf X-Basis. Sogar die Installation eines SSH-Servers ist ein potenzielles Sicherheitsrisiko.
Auf dieser Maschine ist keine grafische Anmeldung möglich, da ein X-Server ein potenzielles Sicherheitsrisiko darstellt. Kerberos bietet seine eigene administrative Schnittstelle.
Konfigurieren Sie /etc/nsswitch.conf so, dass nur lokale Dateien zur Suche nach Benutzern und Gruppen verwendet werden. Ändern Sie die Zeilen für passwd und group, damit sie wie folgt aussehen:
passwd: files group: files
Bearbeiten Sie die Dateien passwd, group, und shadow unter /etc und entfernen Sie die Zeilen, die mit einem +-Zeichen beginnen (diese werden für NIS-Suchen verwendet).
Deaktivieren Sie alle Benutzerkonten außer das Konto des root, indem Sie die Datei /etc/shadow bearbeiten und die Rautezeichen für Passwörter durch die Zeichen * oder ! ersetzen.
