Configurando o Linux para autenticar Kerberos

Kerberos continua sendo um dos protocolos de autenticação mais seguros para a maioria dos ambientes de trabalho. Ele fornece logins de sinal único ou de rede confiáveis ​​para usuários em redes não seguras. Idealmente, o Kerberos fornece aos usuários ingressos para ajudá -los a minimizar o uso frequente de senhas em redes.

O uso frequente de senhas aumenta a possibilidade de uma violação de dados ou roubo de senha. Mas, como a maioria dos protocolos de autenticação, seu sucesso com Kerberos conta com instalação e configuração adequadas.

Muitas pessoas às vezes encontram configurando o Linux para usar o Kerberos uma tarefa tediosa. Isso pode ser verdade para usuários iniciantes. No entanto, configurar o Linux para autenticar com Kerberos não é tão complicado quanto você pensa.

Este artigo fornece um guia passo a passo sobre a configuração do Linux para autenticar usando Kerberos. Entre as coisas que você aprenderá com este artigo, inclua:

• Definindo seus servidores
• Os pré -requisitos necessários para a configuração do Linux Kerberos
• Configurando seus KDC e bancos de dados
• Gerenciamento e Administração de Serviços Kerberos

Guia passo a passo sobre como configurar o Linux para autenticar usando Kerberos

As etapas a seguir devem ajudá -lo a configurar o Linux para autenticar com Kerberos

Etapa 1: verifique se as duas máquinas atendem aos pré -requisitos para configurar o Kerberos Linux

Primeiro, você precisa garantir que você faça o seguinte antes de iniciar o processo de configuração:

1. Você deve ter um ambiente funcional de Kerberos Linux. Notavelmente, você deve garantir que você tenha um servidor Kerberos (KDC) e o cliente Kerberos configurado em máquinas separadas. Vamos supor que o servidor seja indicado com os seguintes endereços do protocolo da Internet: 192.168.1.14, e o cliente é executado no seguinte endereço 192.168.1.15. O cliente pede ingressos do KDC.
2. A sincronização do tempo é obrigatória. Você usará a sincronização da rede de rede (NTP) para garantir que ambas as máquinas sejam executadas no mesmo período de tempo. Qualquer diferença de tempo superior a 5 minutos resultará em um processo de autenticação com falha.
3. Você precisará de um DNS para a autenticação. O serviço de rede de domínio ajudará a resolver conflitos no ambiente do sistema.

Etapa 2: Configure um centro de distribuição chave

Você já deve ter um KDC funcional que você configurou durante a instalação. Você pode executar o comando abaixo no seu KDC:

Etapa 3: verifique os pacotes instalados

Verifica a/ etc/ krb5.conf arquivo para descobrir quais pacotes existem. Abaixo está uma cópia da configuração padrão:

Etapa 4: edite o padrão/var/kerberos/krb5kdc/kdc.arquivo conf

Após a configuração bem -sucedida, você pode editar o/var/kerberos/krb5kdc/kdc.arquivo conf removendo quaisquer comentários na seção do reino, default_reams e alterando -os para se ajustar ao seu ambiente Kerberos.

Etapa 5: Crie o banco de dados Kerberos

Após a confirmação bem -sucedida dos detalhes acima, passamos a criar o banco de dados Kerberos usando o KDB_5. A senha que você criou é essencial aqui. Ele atuará como nossa chave mestre, pois a usaremos para criptografar o banco de dados para armazenamento seguro.

O comando acima será executado por um minuto ou mais para carregar dados aleatórios. Mover o mouse em torno da imprensa mantém ou na GUI potencialmente prenderá o processo.

Etapa 6: Gerenciamento de Serviços

O próximo passo é o gerenciamento de serviços. Você pode iniciar automaticamente seu sistema para ativar os servidores kadmin e krb5kdc. Seus serviços KDC configurarão automaticamente depois de reiniciar seu sistema.

Etapa 7: configure os firewalls

Se a execução das etapas acima for bem -sucedida, você deve se mover para configurar o firewall. A configuração do firewall envolve definir as regras corretas do firewall que permitem ao sistema se comunicar com os serviços KDC.

O comando abaixo deve ser útil:

Etapa 8: teste se o KRB5KDC se comunica com as portas

O serviço Kerberos inicializado deve permitir o tráfego da porta TCP e UDP 80. Você pode executar o teste de confirmação para verificar isso.

Nesse caso, permitimos que os Kerberos apoiassem o tráfego que exige Kadmin TCP 740. O Protocolo de Acesso Remoto considerará a configuração e aumentará a segurança do acesso local.

Etapa 9: Administração Kerberos

Administre o centro de distribuição de chaves usando o kadnim.Comando local. Esta etapa permite que você acesse e visualize o conteúdo no Kadmin.local. Você pode usar o “?”Comando para ver como o AddPrinc é aplicado na conta de usuário para adicionar um principal.

Etapa 10: Configure o cliente

O Centro de Distribuição -Chave aceitará conexões e oferecerá ingressos para os usuários até este ponto. Alguns métodos são úteis para configurar o componente do cliente. No entanto, usaremos o protocolo de usuário gráfico para esta demonstração, pois é fácil e rápido de implementar.

Primeiro, temos que instalar o aplicativo AuthConfig-GTK usando os comandos abaixo:

A janela de configuração de autenticação aparecerá após a conclusão da configuração e executando o comando acima na janela do terminal. O próximo passo é selecionar o elemento LDAP no menu suspenso de identidade e autenticação e digitar Kerberos como a senha correspondente ao reino e às informações do centro de distribuição. Neste caso, 192.168.1.14 é o protocolo da Internet.

Aplique essas modificações uma vez feito.

Conclusão

Você terá um Kerberos totalmente configurado e o servidor cliente após a instalação quando concluir as etapas acima. O guia acima leva um através do processo de configuração do Linux para autenticar com Kerberos. Claro, você pode criar um usuário.