install MIT Kerberos

install MIT Kerberos

Debian安裝向導：http://techpubs.spinlocksolutions.com/dklar/kerberos.html

Ubuntu1804單機安裝MIT Kerberos。

準備

修改主機名為krb.example.com

​<code>​/etc/hosts​</code>​配置：

1

2

安裝服務

安裝過程選項如下：

安裝配置

執行​<code>​sudo krb5_newrealm​</code>​，設定REALM。

選項如下：

編輯​<code>​/etc/krb5.conf​</code>​

建立目錄檔案：

重新開機服務：

安裝測試

執行​<code>​sudo kadmin.local​</code>​，進入本地管理者互動程式。

如下：(listprincs指令列出所有主體；quit指令退出互動程式)

通路權利

啟用管理者使用者的所有通路權利。

編輯​<code>​/etc/krb5kdc/kadm5.acl​</code>​，添加：

Kerberos政策(policies)

增加4個政策，規定最小密碼長度和最少包含幾種字元類型

建立第一個特權主體(privileged principal)

政策使用admin，要求密碼長度最小為8，同時至少包含3種字元類型

kadmin測試

建立第一個無特權主體(unprivileged principal)

擷取kerberos ticket

擷取前

擷取

擷取後

銷毀

安裝kerberized services

以​<code>​openssh-server​</code>​為例

安裝

添加主體

修改​<code>​/etc/ssh/sshd_config​</code>​配置

重新開機服務

PAM配置

使用pam，使用者登入後自動生成kerberos tickets，不需要運作​<code>​kinit​</code>​。

安裝kerberos pam

切換到root使用者，儲存pam配置副本，以備恢複：

修改pam配置：

​<code>​/etc/pam.d/common-account​</code>​

​<code>​/etc/pam.d/common-auth​</code>​

​<code>​/etc/pam.d/common-password​</code>​

​<code>​/etc/pam.d/common-session​</code>​

如果修改了上述配置，則重新開機你想要連接配接的服務，這裡重新開機ssh:

安裝kerberized clients

測試連接配接

以​<code>​xwd​</code>​使用者為例。

如果​<code>​xwd​</code>​不是系統使用者，需要建立，如下：

确認以持有kerberos ticket

嘗試連接配接

不出意外的話，ssh連接配接成功。

========== End