17.6. Konfigurieren eines Kerberos 5-Clients

Das Einrichten eines Kerberos 5-Client ist wesentlich einfacher als das Einrichten eines Servers. Sie sollten zumindest die Clientpakete installieren und den Clients eine gültige krb5.conf-Konfigurationsdatei zur Verfügung stellen. Kerberisierte Versionen von rsh und rlogin erfordern ebenfalls einige Konfigurationsänderungen.

  1. Stellen Sie sicher, dass zwischen dem Kerberos-Client und KDC Zeitsynchronisierung vorhanden ist. Weitere Informationen finden Sie unter Abschnitt 17.5. Zudem sollten Sie prüfen, dass DNS auf dem Kerberos-Client fehlerfrei läuft, bevor die Kerberos-Clientprogramme installiert werden.

  2. Installieren Sie die Pakete krb5-libs und krb5-workstation auf allen Client-Rechnern. Für jeden Client müssen Sie eine Version von /etc/krb5.conf zur Verfügung stellen; dies kann normalerweise dieselbe krb5.conf sein, die von KDC verwendet wird.

  3. Ehe eine bestimmte Workstation im Realm Benutzern das Herstellen einer Verbindung mit Hilfe der kerberisierten Befehle rsh und rlogin erlaubt, muss auf der Workstation zum einen das xinetd-Paket installiert sein und zum anderen muss sie ihren eigenen Hostprincipal in der Kerberos-Datenbank haben. Die Serverprogramme kshd und klogind benötigen ebenfalls Zugriff auf die Schlüssel für den Dienstprincipal.

    Mit Hilfe von kadmin fügen Sie einen Hostprincipal für die Workstation auf dem KDC hinzu. Die Instanz ist in diesem Fall der Hostname der Workstation. Sie können die Option -randkey für den kadmin-Befehl addprinc verwenden, um den Principal zu erstellen und ihm einen zufällig ausgewählten Schlüssel zuzuweisen:

    addprinc -randkey host/blah.example.com

    Nachdem der Principal erstellt ist, können Sie die Schlüssel für die Workstation extrahieren, indem Sie kadmin auf der Workstation selbst ausführen und den Befehl ktadd in kadmin verwenden:

    ktadd -k /etc/krb5.keytab host/blah.example.com
  4. Sollten Sie andere kerberisierten Netzwerk-Services benutzen wollen, müssen diese gestartet werden. Folgend ist eine Liste der gebräuchlicheren kerberisierten Services und Anleitungen zum Einschalten dieser:

    • rsh und rlogin — Um die kerberisierten Versionen von rsh und rlogin zu verwenden, müssen Sie klogin, eklogin, und kshell aktivieren.

    • Telnet — Um den kerberisierten Befehl telnet verwenden zu können, müssen Sie krb5-telnet aktivieren.

    • FTP — Zum Bereitstellen von FTP-Zugriff müssen Sie einen Schlüssel für einen Principal mit einem root von ftp erstellen und extrahieren. Dabei muss die Instanz auf den Hostnamen des FTP-Servers festgelegt sein. Aktivieren Sie dann gssftp.

    • IMAP — Der IMAP-Server, im imap-Paket enthalten, verwendet die GSS-API-Authentifizierung unter Verwendung von Kerberos 5, wenn es den richtigen Key in /etc/krb5.keytab findet. Der root für den Principal sollte imap sein.

    • CVS — CVS's kerberisierter gserver verwendet einen Principal mit cvs als root. Andernfalls stimmt er mit pserver überein.

    Für detaillierte Informationen zum Aktivieren von Services, sehen Sie das Kapitel Zugriffskontrolle für Dienste im Red Hat Linux Handbuch benutzerdefinierter Konfiguration.