Configurando un servidor Kerberos 5 en Red Hat Linux 7.0
Cuando configures Kerberos, instala primero el servidor(es) . Si necesitas servidores esclavos, los detalles de la configuración entre el servidor maestro y el esclavo están recogidos en Kerberos 5 Installation Guide (en /usr/share/doc/krb5-server-versionnumber/).
Para instalar un servidor Kerberos:
Instalar el paquete krb5-libs, krb5-server, y krb5-workstation en el ordenador que ejecutará su KDC. Este ordenador necesitará ser seguro — si es posible, no debería ejecutar ningún servicio aparte de KDC.
Si quieres usar la utilidad Graphical User Interface (GUI) para administrar Kerberos, deberías instalar también el paquete gnome-kerberos . gnome-kerberos contiene krb5, una herramienta GUI para administrar ticketes, y gkadmin, una herramienta GUI para administrar entornos Kerberos.
Editar el fichero de configuración /etc/krb5.conf y /var/kerberos/krb5kdc/kdc.conf para reflejar su nombre de entorno y su dominio. Un sencillo entorno puede ser construido para reemplazar instances de EXAMPLE.COM y example.com con su nombre del dominio y cambiando el KDC desde kerberos.example.com por el nombre de su servidor Kerberos. Por convenio, todos los nombres de entornos son en mayúsculas y todos los nombres de host DNS y nombres de dominios son en minúsculas. Para más detalles sobre el formato de estos ficheros, vea su respectivas páginas en man.
Crear la base de datos usando la utilidad kdb5_util desde el prompt del shell:
/usr/kerberos/sbin/kdb5_util create -s
El comando create crea la base de datos que será usada para guardar las claves de su entornos Kerberos. -s fuerza la creació de un fichero stash que la clave del servidor maestro es guarda. Si el fichero stash no esta presente para leer la clave, el servidor Kerberos (krb5kdc) pedirá al usuario el password del servidor maestro ( que puede ser usado para regenerar la clave).
Editar el fichero /var/kerberos/krb5kdc/kadm5.acl. kadmind usa este fichero para determinar que principales tiene acceso a la base de datos Kerberos, y que clase de acceso tienen. La mayoría de las organizaciones podrá conseguir con una línea:
*/admin@EXAMPLE.COM *
La mayoría de usuarios están representados en la base de datos por un solo principal (con un NULL instance, por ejemplo, joe@EXAMPLE.COM). Con esta configuración, los usuarios con un segundo principal con una instance de admin (por ejemplo, joe/admin@EXAMPLE.COM) podrán manejar todo el dominio sobre la base de datos de los entornos Kerberos.
Una vez este inicializado kadmind en un servidor, algunos usuarios podrán acceder a sus servicios ejecutando kadmin o gkadmin en algunos clientes o servidores en el entorno. Sin embargo, solo los usuarios del fichero kadm5.acl podrán modificar la base de datos en alguna excepción para cambiar sus password.
nota La utilidades kadmin y gkadmin comunican con kadmind servidor sobre la red. Claro, necesitas crear un principal antes de que puedas conectarte a un servidor sobre la red para administarlo, haga esto con el comando kadmin.local:
/usr/kerberos/sbin/kadmin.local -q addprinc joeuser/admin
Iniciar Kerberos usando los siguientes comandos:
krb5kdc start kadmin start krb524 start
Añadir principales para sus usuarios usando los comandos kadmin addprinc o usando las opciones de menú gkadmin Principal => Añadir.
Verifica que su servidor emita los tickets. kinit para obtener un ticket y guardar lo en un fichero cache de credenciales. Entonces usa klist para ver la lista de credenciales en su cache y usa kdestroy para destruir el cache y las credenciales contenidas.
nota Por defecto, kinit intenta para autentificarle usando el nombre de login del usuario actual. Si este usuario no corresponde a un principal en su base de datos Kerberos, obtendrá un mensaje de error. Si esto ocurre, dé kinit el nombre de su principal como un argumento en la línea de comandos.
Una vez tenga completados los pasos anteriores, su servidor Kerberos se ejecutará. Necesitarás configurar sus clientes Kerberos.