欢迎来到天天文库
浏览记录
ID:39465092
大小:37.00 KB
页数:8页
时间:2019-07-04
《Kerberos配置》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库。
1、1 前言假设你的Openldap已经配置好并成功运行,本文只是介绍如何使Openldap使用Kerberos来验证用户身份。本配置在FC5上通过,在使用rhe时,很可能会有不同的情况。2 名词解释2.1 Kerberos基于共享密钥的安全机制,由MIT发明,现在已经被标准化,最新是版本5,简称krb5。Kerberos特别适合局域网络,Windows2k及以上系统的安全机制即基于kerberos。Kerberos有多个实现版本,本文使用的一个它的实现叫做mit¬-kerberos。2.2 SASL简单认证和安全层(SimpleAuthent
2、icationandSecurityLayer)。也是一套RFC定义的标准。它的核心思想是把用户认证和安全传输从应用程序中隔离出来。像SMTP协议在定义之初都没有考虑到用户认证等问题,现在SMTP可以配置使用SASL来完成这方面的工作。Openldap同样如此。SASL支持多种认证方法,比如• ANONYMOUS:无需认证。• PLAIN:明文密码方式(cleartextpassword)• DIGEST-MD5:HTTPDigest兼容的安全机制,基于MD5,可以提供数据的安全传输层。这个是方便性和安全性结合得最好的一种方式。也是默认的方式。•
3、 GSSAPI:GenericSecurityServicesApplicationProgramInterfaceGssapi本身是一套API,由IETF标准化。其最主要也是著名的实现是基于Kerberos的。所以一般说到gssapi都暗指kerberos实现。• EXTERNAL:认证已经在环境中实现了,比如SSL/TLS,IPSec.2.3 CyrusSASLCyrus-SASL是SASL协议最常用的一个实现。其他实现还有GNUSASL等。3 环境准备3.1 环境ldap.example.com(10.10.11.11)krb5
4、.example.com(10.10.11.12)client.example.com(10.10.11.13)3.2 安装软件包Kerberosserver:Krb5-serverSasl-gssapi:Cyrus-sasl-gssapiKerberosclient:Krb5-client如果依赖于别的包,也一并安装4 配置Kerberosserver配置文件包括下面3个文件1. /etc/krb5.conf2. /var/kerberos/krb5kdc/kdc.conf3. /var/kerberos/krb5kdc/kadm5
5、.acl4.1 配置/etc/krb5.conf这个配置文件设置整个kerberos环境的,所以不但server,而且client也会使用它。[logging]default=FILE:/var/log/krb5libs.logkdc=FILE:/var/log/krb5kdc.logadmin_server=FILE:/var/log/kadmind.log[libdefaults]default_realm=EXAMPLE.COMdefault_tgs_enctypes=des3-hmac-sha1des-cbc-crcdes-cbc-md5defaul
6、t_tkt_enctypes=des3-hmac-sha1des-cbc-crcdes-cbc-md5permitted_enctypes=des3-hmac-sha1des-cbc-crcdes-cbc-md5dns_lookup_realm=falsedns_lookup_kdc=falseticket_lifetime=24hforwardable=yes[realms]EXAMPLE.COM={ kdc=krb5.example.com:88 admin_server=krb5.example.com:749 default_domain=examp
7、le.com}[domain_realm].example.com=EXAMPLE.COMexample.com=EXAMPLE.COM[kdc]profile=/var/kerberos/krb5kdc/kdc.conf[appdefaults]pam={ debug=false ticket_lifetime=36000 renew_lifetime=36000 forwardable=true krb4_convert=false}4.2 配置/var/kerberos/krb5kdc/kdc.conf这个配置文件是专门为kdc定义的参数[k
8、dcdef
此文档下载收益归作者所有