17.6. Configurer un client Kerberos 5

Il est moins complexe de configurer un client Kerberos 5 qu'un serveur. Vous devez au minimum installer les paquetages clients et fournir à vos clients un fichier de configuration krb5.conf valide. Les versions "kerberisées" de rsh et rlogin devront également être modifiée au niveau de la configuration.

  1. Assurez-vous que la synchronisation de l'heure est bien établie entre le client Kerberos et le KDC. Reportez-vous à Section 17.5 Configuration d'un serveur Kerberos 5 pour de plus amples informations. En outre, vérifiez que le DNS fonctionne correctement sur le client Kerberos avant d'installer les programmes de ce client.

  2. Installez les paquetages krb5-libs et krb5-workstation sur tous les clients de votre realm. Vous devez fournir une version de /etc/krb5.conf pour chacun de vos clients; généralement, le fichier krb5.conf utilisé pour le KDC peut également servir ici.

  3. Avant qu'une station de travail spécifiée dans le realm puisse permettre aux utilisateurs de se connecter à l'aide des commandes "kerberisées" rsh et rlogin, le paquetage xinetd devra y être installé et l'élément principal de l'hôte propre à la station devra être présent dans la base de données Kerberos. Les programmes de serveur kshd et klogind auront également besoin d'un accès aux clés pour l'élément principal de leur service.

    À l'aide de kadmin, ajoutez un élément principal d'hôte pour la station de travail sur le KDC. L'instance sera dans ce cas le nom d'hôte de la station de travail. Vous pouvez utiliser l'option -randkey de la commande addprinc de kadmin pour créer l'élément principal et lui attribuer une clé aléatoire:

    addprinc -randkey 
    host/blah.example.com

    Maintenant que vous avez créé l'élément principal, vous pouvez extraire les clés de la station de travail en exécutant kadmin sur la station de travail elle-même, et en utilisant la commande ktadd dans kadmin:

    ktadd -k /etc/krb5.keytab 
    host/blah.example.com
  4. Si vous souhaitez utiliser d'autres services réseau "kerberisées", vous devrez les démarrer. Ci-dessous figure une liste des services "kerberisées" les plus courants et les instructions relatives à leur activation:

    • rsh and rlogin — Afin d'utiliser les versions "kerberisées" de rsh et rlogin, vous devez activer klogin, eklogin, et kshell.

    • Telnet — Afin d'utiliser le service "kerberisés" Telnet, vous devez activer krb5-telnet.

    • FTP — Afin de fournir un accès FTP, créez puis extrayez une clé pour un élément principal avec un root de ftp. Pour cette opération l'instance doit être configurée au nom d'hôte du serveur FTP. Activez ensuite gssftp.

    • IMAP — Le serveur IMAP inclus dans le paquetage imap utilisera l'authentification GSS-API à l'aide de Kerberos 5 s'il parvient à trouver la clé appropriée dans /etc/krb5.keytab. Le root de l'élément principal devrait être imap.

    • CVS — Le gserver "kerberisé" de CVS utilise un élément principal avec un root de cvs et, hormis ce point, est identique au pserver de CVS.

    Reportez-vous au chapitre intitulé Contrôle de l'accès aux services dans le Guide de personnalisation de Red Hat Linux pour obtenir de plus amples informations sur l'activation des services.