Red Hat Linux 7.0: The Official Red Hat Linux Reference Guide
IndietroCapitolo 8. Kerberos 5 su Red Hat LinuxAvanti

Configurazione di un server Kerberos 5

Prima di tutto è necessario installare un calcolatore server in cui è presente il software per Kerberos. Se state configurando un server slave, troverete maggiori dettagli nella Kerbero 5 Installation Guide presente nella directory /usr/share/doc/krb5-server-versionnumber/).

Per installare un server Kerberos:

  1. Installate i pacchetti krb5-libs, krb5-server, e krb5-workstation sul server KDC. Questa calcolatore deve essere il più possibile sicuro, perciò non installate altri servizi.

    Se preferite utilizzare l'interfaccia grafica per amministrare il server Kerberos, installate il pacchetto gnome-kerberos. Contiene il tool grafico krb5, per la gestione dei ticket e del sistema Kerberos.

  2. Modificate i file di configurazione /etc/krb5.conf e /var/kerberos/krb5kdc/kdc.conf indicando le informazioni per la vostra rete. Sostituite le stringhe EXAMPLE.COM e example.com con il nome del vostro dominio mantenendo le lettere minuscole e maiuscole come indicato. Infine sostituite kerberos.example.com con il nome del server Kerberos. Per maggiori informazioni sul formato di questi file, consultate le rispettive pagine man.

  3. Create il database utilizzando l'utility kdb5_util digitando: 

    /usr/kerberos/sbin/kdb5_util create -s

    Il comando create crea il database per la memorizzazione delle chiavi. L'opzione -s forza la creazione di un file stash.

  4. Modificate il file /var/kerberos/krb5kdc/kadm5.acl. Il programma kadmind usa questo file per determinare quali principal hanno accesso al database Kerberos. Per la maggior parte dei casi si può inserire la seguente riga: 

    */admin@EXAMPLE.COM  *

    La maggior parte degli utenti saranno rappresentati nel database da un singolo principal (ad esempio con una istanza NULL e joe@EXAMPLE.COM). Con questa configurazione gli utenti con un secondo principal e con un'istanza admin (per esempio joe/admin@EXAMPLE.COM) avranno i pieni poteri sul database Kerberos.

    Dopo aver attivato kadmind sul server, ogni utente potrà accedere ai servizi eseguendo kadmin o gkadmin su ogni client o server. Comunque solo gli utenti elencati nel file kadm5.acl potranno modificare il database.

    NotaNota Bene
     

    Le utility kadmin e gkadmin comunicano con il programma kadmind in esecuzione sul server via rete. Naturalmente dovrete creare un principal prima di connettervi al server via rete per amministrarlo. È sufficiente eseguire il comando 

    /usr/kerberos/sbin/kadmin.local -q addprinc joeuser/admin

  5. Attivate Kerberos tramite il comando: 

    krb5kdc start
kadmin start
krb524 start

  6. Aggiungete i principal per i vostri utenti tramite l'opzione addprinc di kadmin o tramite il menu Principal => Add di gkadmin.

  7. Verificate che il vostro server rilasci i ticket. Prima di tutto, eseguite kinit per ottenere i ticket e memorizzatelo nel file della cache. Utilizzate il comando klist per visualizzare il contenuto della cache ed il comando kdestroy per cancellare il contenuto.

    NotaNota Bene
     

    Per default, kinit prova ad autenticarvi con la login utilizzata per collegarsi. Se l'utente non corrisponde ad un principal presente nel database Kerberos, riceverete un messaggio di errore. In tal caso fornite a kinit il nome del vostro principal come argomento sulla linea di comando.

Completati i passi precedenti, il vostro server Kerberos è in esecuzione. Dovrete configurare i client Kerberos.

IndietroPartenzaAvanti
Funzionamento di KerberosRisaliConfigurazione di un client Kerberos 5 con Red Hat Linux 7.0