kerberos

企业开发 2018-05-14 10:56:44 阅读次数: 2
 kerberos是由MIT开发的提供网络认证服务的系统,很早就听说过它的大名,但一直没有使用过它。它可用来为网络上的各种server提供认证服务,使得口令不再是以明文方式在网络上传输,并且联接之间通讯是加密的;它和PKI认证的原理不一样,PKI使用公钥体制(不对称密码体制),kerberos基于私钥体制(对称密码体制)。

  本篇文章不打算详细讲解kerberos的工作原理,而是侧重介绍在redhat8.0环境下如何使用kerberos自己提供的Ktelnetd,Krlogind,Krshd来替代传统的telnetd,rlogind,rshd服务,有关kerberos工作的原理可以参考《Kerberos:AN Authentication Services for Computer Networks》。

  安装环境:一台i386机器。

  安装包:krb5-server-1.2.5-6,krb5-workstation-1.2.5-6,krb5-libs-1.2.5-6

  rpm -ivh krb5-libs-1.2.5-6.i386.rpm

  rpm -ivh krb5-server-1.2.5-6.i386.rpm

  rpm -ivh krb5-workstation-1.2.5-6.i386.rpm

  上述要求满足后,我们就可以先配KDC服务器,然后再配Ktelnetd,Krlogind,Krsh服务器,最后就可以使用krb5-workstation提供的telnet,rlogin,rsh来登录这些服务了。下面是安装步骤:

  1、生成kerberos的本地数据库

  kdb5_util create -r EXAMPLE.COM -s

  这个命令用来生成kerberos的本地数据库,包括几个文件:principal,principal.OK,principal.kadm5,principal.kadm5.lock. -r 指定realm(kerberos术语),我们随便取一个叫EXAMPLE.COM.

  2、生成账号

  kerberos用principal(kerberos术语)来表示realm下的一个帐户,表示为primary/instance@realm,举个例子就是username/[email protected],这里假设9.181.92.90是你机器的ip地址.

  在数据库中加入管理员帐户:

  /usr/kerberos/sbin/kadmin.local

  kadmin.local: addprinc admin/[email protected]

  在数据库中加入用户的帐号:

  kadmin.local: addprinc username/[email protected]

  在数据库中加入Ktelnetd,Krlogind,Krshd公用的帐号:

  kadmin.local: addprinc -randkey host/[email protected]

  3、检查/var/kerberos/krb5kdc/kadm5.keytab是否有下列语句:

  */[email protected] *

  若没有,那么就添上。

  4、修改/etc/krb5.conf文件,修改所有的realm为EXAMPLE.COM,并且加入下列句子

  kdc = 9.181.92.90:88

  admin_server = 9.181.92.90:749

  5、在/etc/krb.conf中加入下列语句:

  EXAMPLE.COM

  EXAMPLE.COM 9.181.92.90:88

  EXAMPLE.COM 9.181.92.90:749 admin server

  6、启动kdc服务器和Ktelnetd,Krlogind,Krshd

  /etc/init.d/krb5kdc restart

  chkconfig klogin on

  chkconfig kshell on

  chkconfig eklogin on

  chkconfig krb5-telnet on

  /etc/init.d/xinetd restart

  7、制作本地缓存

  将username/[email protected]的credentials(kerberos术语)取到本地做为cache,这样以后就可以不用重复输入password了。

  kinit username/9.181.92.90

  如果顺利的话,在/tmp下面会生成文件krb5*;这步如果不通,那么就必须检查以上步骤是否有漏。

  可以用klist命令来查看credential。

  8、导出用户密匙

  export host/[email protected]的key到/etc/krb5.keytab,Ktelnetd、Krlogind和Krshd需要/etc/krb5.keytab来验证username/9.181.92.90的身份。

  kadmin.local: ktadd -k /etc/krb5.keytab host/9.181.92.90

  9、修改~/.k5login文件

  在其中加入username/[email protected],表示允许username/[email protected]登录该帐户

  cat username/[email protected] >>~/.k5login

  10、测试kerberos客户端

  krsh 9.181.92.90 -k EXAMPLE.COM ls

  krlogin 9.181.92.90 -k EXAMPLE.COM

  rlogin 9.181.92.90 -k EXAMPLE.COM

  rsh 9.181.92.90 -k EXAMPLE.COM

  telnet -x 9.181.92.90 -k EXAMPLE.COM

猜你喜欢

转载自wwangcg.iteye.com/blog/1682932
今日推荐
中国码农的“35岁魔咒”
蘭雅 CorelDRAW 插件 2024.5.1 国际劳动节版,免费下载
Arc Browser for Windows 1.0 正式 GA
90后程序员开发视频搬运软件、不到一年获利超 700 万,结局很刑!
《美国对全球网络空间安全与发展的威胁和破坏》报告发布
周排行
[编程题]学英语
[codeforces 1288A] Deadline 约数+模
Python的web开发
Docker在Centos 7上的部署
python编码
解决Ubuntu16.04 fatal error: json/json.h: No such file or directory
mysql并发插入
rest接口如何适应jsonp的方案
linux 终端上网设置
高数——等号两边同时求导、积分的解释
每日归档
更多
2024-05-04(7)
2024-05-03(19)
2024-05-02(0)
2024-05-01(4)
2024-04-30(1)
2024-04-29(40)
2024-04-28(0)
2024-04-27(56)
2024-04-26(39)
2024-04-25(22)

代码天地 © 2018 codetd.com

境外服务器   最新电视剧2022