install MIT Kerberos

install MIT Kerberos

Debian安装向导：http://techpubs.spinlocksolutions.com/dklar/kerberos.html

Ubuntu1804单机安装MIT Kerberos。

准备

修改主机名为krb.example.com

​<code>​/etc/hosts​</code>​配置：

1

2

安装服务

安装过程选项如下：

安装配置

执行​<code>​sudo krb5_newrealm​</code>​，设置REALM。

选项如下：

编辑​<code>​/etc/krb5.conf​</code>​

创建目录文件：

重启服务：

安装测试

执行​<code>​sudo kadmin.local​</code>​，进入本地管理员交互程序。

如下：(listprincs命令列出所有主体；quit命令退出交互程序)

访问权利

启用管理员用户的所有访问权利。

编辑​<code>​/etc/krb5kdc/kadm5.acl​</code>​，添加：

Kerberos策略(policies)

增加4个策略，规定最小密码长度和最少包含几种字符类型

创建第一个特权主体(privileged principal)

策略使用admin，要求密码长度最小为8，同时至少包含3种字符类型

kadmin测试

创建第一个无特权主体(unprivileged principal)

获取kerberos ticket

获取前

获取

获取后

销毁

安装kerberized services

以​<code>​openssh-server​</code>​为例

安装

添加主体

修改​<code>​/etc/ssh/sshd_config​</code>​配置

重启服务

PAM配置

使用pam，用户登录后自动生成kerberos tickets，不需要运行​<code>​kinit​</code>​。

安装kerberos pam

切换到root用户，保存pam配置副本，以备恢复：

修改pam配置：

​<code>​/etc/pam.d/common-account​</code>​

​<code>​/etc/pam.d/common-auth​</code>​

​<code>​/etc/pam.d/common-password​</code>​

​<code>​/etc/pam.d/common-session​</code>​

如果修改了上述配置，则重启你想要连接的服务，这里重启ssh:

安装kerberized clients

测试连接

以​<code>​xwd​</code>​用户为例。

如果​<code>​xwd​</code>​不是系统用户，需要创建，如下：

确认以持有kerberos ticket

尝试连接

不出意外的话，ssh连接成功。

========== End