Настройка клиента Kerberos 5

Настройка клиента Kerberos 5 выполняется гораздо проще, чем настройка сервера. Как минимум, вы должны установить пакеты клиента и сформировать для своих клиентов правильный файл конфигурации krb5.conf. Версии rsh и rlogin, поддерживающие Kerberos, также потребуют некоторых изменений в конфигурации.

  1. Убедитесь в том, что между клиентом Kerberos и KDC время синхронизировано. За дополнительной информаций обратитесь к разделу Настройка сервера Kerberos 5. Помимо этого, до установки на компьютере клиентских программ Kerberos необходимо убедиться в корректной работе DNS.

  2. Установите пакеты krb5-libs и krb5-workstation на всех клиентских компьютерах вашей сферы. Вы должны поместить собственную версию файла /etc/krb5.conf на клиентские компьютеры; обычно это тот же файл krb5.conf, что и на KDC.

  3. До того как определённая рабочая станция в вашей сфере позволит пользователям подключиться, используя rsh и rlogin, использующие Kerberos, на этом компьютере необходимо установить пакет xinetd, и создать для него собственную запись узла в базе данных Kerberos. Серверным программам kshd и klogind также понадобится получить ключи своих учётных записей служб.

    Воспользовавшись kadmin добавьте учётную запись компьютера для этой рабочей станции. Именем экземпляра в этом случае будет имя рабочей станции. Так как вам никогда больше не понадобится вводить пароль для этой учётной записи, и вероятно, вы не будет против сильного пароля, воспользуйтесь параметром -randkey команды addprinc для программы kadmin для создания учётной записи и присвоения ей случайного пароля:

    addprinc -randkey host/blah.example.com

    Обратите внимание, после создания учётной записи, вы можете извлечь ключи рабочей станции, выполнив команду kadmin на самой рабочей станции и воспользовавшись командой ktadd в kadmin:

    ktadd -k /etc/krb5.keytab host/blah.example.com

    Чтобы использовать версии rsh и rlogin, поддерживающие Kerberos, вы должны включить klogin, eklogin и kshell. [1]

  4. Также может понадобиться запуск других сетевых служб, поддерживающих Kerberos. Чтобы использовать telnet с поддержкой Kerberos, вы должны включить krb5-telnet. [1]

    Чтобы предоставить FTP доступ, создайте и извлеките ключ для учётной записи корня ftp, указав в качестве экземпляра имя FTP сервера. Затем включите gssftp. [1].

    Сервер IMAP, включенный в пакет imap, будет использовать проверку подлинности GSS-API с Kerberos 5, если найдёт соответствующий ключ в /etc/krb5.keytab. Корнем для учётной записи должен быть imap. Служба CVS gserver использует учётную запись с корнем cvs и во остальном совпадает с ??????????????? pserver.

Вот и всё, что необходимо сделать, для построения простой сферы Kerberos.

Замечания

[1]

Дополнительную информацию о включении служб вы можете получить в Главе 8.