Use o serviço Kerberos no Linux

Rickey Greenholt
Use o serviço Kerberos no Linux
Uma das etapas mais desafiadoras para os administradores de dados é todo o processo de manter a segurança e a integridade de seus sistemas. O processo crítico envolve assumir a responsabilidade pelo que todo usuário faz. Também envolve uma compreensão e controle aprofundados do que quer que aconteça com todos os aplicativos, servidores e serviços da sua infraestrutura de rede.

Kerberos continua sendo um dos protocolos de autenticação mais seguros em ambientes Linux. Você descobrirá mais tarde que Kerberos também é útil para fins de criptografia.

Este artigo discute como implementar o serviço Kerberos no Linux Operating System. O guia o levará através das medidas obrigatórias que garantem que o serviço Kerberos em um sistema Linux seja bem -sucedido.

Usando o serviço Kerberos no Linux: uma visão geral

A essência da autenticação é fornecer um processo confiável de garantir que você identifique todos os usuários em sua estação de trabalho. Também ajuda a controlar o que os usuários podem acessar. Esse processo é bastante difícil em ambientes de rede abertos, a menos que você dependa exclusivamente na assinatura de cada programa por cada usuário usando senhas.

Mas em casos comuns, os usuários devem se inscrever em senhas para acessar cada serviço ou aplicativo. Este processo pode ser agitado. Novamente, usar senhas toda vez é uma receita para vazamento de senha ou vulnerabilidade ao cibercrime. Kerberos é útil nesses casos.

Além de permitir que os usuários se registrem apenas uma vez e acessem todos os aplicativos, Kerberos também permite que o administrador examine continuamente o que cada usuário pode acessar. Idealmente, o uso do Kerberos Linux pretende abordar o seguinte;

  • Certifique -se de que cada usuário tenha sua identidade única e nenhum usuário leva a identidade de outra pessoa.
  • Verifique se cada servidor tem sua identidade única e prova isso. Este requisito impede a possibilidade de os atacantes surgirem para se passar por servidores.

Guia passo a passo sobre como usar Kerberos no Linux

As etapas a seguir ajudarão você a usar o Kerberos no Linux com sucesso:

Etapa 1: Confirme se você tem o KBR5 instalado em sua máquina

Verifique se você tem a mais recente versão do Kerberos instalada usando o comando abaixo. Se você não tiver, pode baixar e instalar o KBR5. Já discutimos o processo de instalação em um artigo diferente.

Etapa 2: Crie um caminho de pesquisa

Você precisará criar um caminho de pesquisa adicionando /usr/kerberos/bin e/usr/kerberos/sbin para o caminho de pesquisa.

Etapa 3: Configure o nome do seu reino

Seu nome verdadeiro deve ser o seu nome de domínio DNS. Este comando é:

Você precisará modificar os resultados deste comando para se ajustar ao seu ambiente de reino.

Etapa 4: Crie e inicie seu banco de dados KDC para o principal

Crie um centro de distribuição chave para o banco de dados principal. Obviamente, esse também é o ponto em que você precisará criar sua senha mestre para as operações. Este comando é necessário:

Uma vez criado, você pode iniciar o KDC usando o comando abaixo:

Etapa 5: Configure um diretor pessoal de Kerberos

É hora de configurar um diretor do KBR5 para você. Deve ter privilégios administrativos, pois você precisará dos privilégios para administrar, controlar e executar o sistema. Você também precisará criar um diretor host para o host KDC. O prompt para este comando será:

# kadmind [-m]

É nesse ponto que você pode precisar configurar seus kerberos. Vá para o domínio padrão no arquivo “/etc/krb5.config ”e insira o seguinte surfault_realm = ist.Utl.Pt. O reino também deve corresponder ao nome do domínio. Nesse caso, Kenhint.Com é a configuração de domínio necessária para o serviço de domínio no mestre primário.

Depois de concluir os processos acima, uma janela será exibida que captura o resumo do status de Recursos de Rede até este ponto, como mostrado abaixo:

Recomenda -se que os usuários de validar de rede. Nesse caso, temos Kenhint deve ter um UID em um alcance mais alto do que os usuários locais.

Etapa 6: use o comando Kerberos Kinit Linux para testar o novo diretor

O utilitário Kinit é usado para testar o novo diretor criado como capturado abaixo:

Etapa 7: Crie contato

Criar contato é uma etapa incrivelmente vital. Execute o servidor de concessão de tickets e o servidor de autenticação. O servidor de concessão de bilhetes estará em uma máquina dedicada que só é acessível pelo administrador pela rede e fisicamente. Reduza todos os serviços de rede para o menor número possível. Você nem deve executar o serviço sshd.

Como qualquer processo de login, sua primeira interação com o KBR5 envolverá a digitação em determinados detalhes. Depois de entrar no seu nome de usuário, o sistema enviará as informações para o Linux Kerberos Authentication Server. Depois que o servidor de autenticação o identificar, ele gerará uma sessão aleatória para a correspondência contínua entre o servidor de concessão de bilhetes e seu cliente.

O ingresso geralmente conterá os seguintes detalhes:

Nomes do servidor de bico de bilhetes e do cliente

  • Lifetime do ingresso
  • Hora atual
  • A nova chave de geração
  • O endereço IP do cliente

Etapa 8: teste usando o comando Kinit Kerberos para obter credenciais de usuário

Durante o processo de instalação, o domínio padrão está definido como IST.Utl. PT pelo pacote de instalação. Depois disso, você pode obter um ticket usando o comando Kinit, conforme capturado na imagem abaixo:

Na captura de tela acima, Istkenhint refere -se ao ID do usuário. Este ID de usuário também virá com uma senha para verificar se existe um ingresso válido do Kerberos. O comando Kinit é usado para mostrar ou recuperar os ingressos e credenciais presentes na rede.

Após a instalação, você pode usar este comando Kinit padrão para obter um ingresso se não tiver um domínio personalizado. Você também pode personalizar um domínio completamente.

Nesse caso, o Istkenhint é o ID de rede correspondente.

Etapa 9: teste o sistema administrativo usando a senha obtida anteriormente

Os resultados da documentação são representados abaixo após uma execução bem -sucedida do comando acima:

Etapa 10: reinicie o Kadmin Serviço

Reiniciando o servidor usando o # kadmind [-m] O comando fornece acesso à lista de controle de usuários na lista.

Etapa 11: monitore como o seu sistema executa

A captura de tela abaixo destaca os comandos adicionados em/etc/nomeado/dB.Kenhint.com apoiar os clientes em determinar automaticamente o centro de distribuição de chaves para os reinos utilizando os elementos DNS SRV.

Etapa 12: use o comando klist para examinar seu ingresso e credenciais

Após inserir a senha correta, o utilitário KLIST exibirá as informações abaixo no estado do serviço Kerberos que está em execução no sistema Linux, conforme mostrado pela captura de tela abaixo:

A pasta de cache KRB5CC_001 contém a denotação KRB5CC_ e a identificação do usuário, conforme indicado nas capturas de tela anteriores. Você pode adicionar uma entrada ao arquivo /etc /hosts para o cliente KDC estabelecer identidade com o servidor, conforme indicado abaixo:

Conclusão

Depois de concluir as etapas acima, o reino e os serviços Kerberos iniciados pelo servidor Kerberos estão prontos e em execução no sistema Linux. Você pode continuar usando seus Kerberos para autenticar outros usuários e editar privilégios de usuário.

php
Como usar a função php str_split
A função php str_split () é uma ferramenta útil para dividir strings em caracteres individuais ou su...
Jackie Blanda
C nítido
Como usar a palavra -chave Throw em C#
A palavra -chave Throw é como uma declaração de salto em C# que pode aumentar uma exceção. Exceções ...
Orlando Green
php
Como usar a função Array_Merge no PHP?
A função Array_Merge () no PHP permite combinar várias matrizes em uma. Siga este artigo para aprend...
Carl Hintz DDS
Pitão
Filtrar nan pandas
Benny Hilll DDS
Pitão
Numpy Astype
Jackie Blanda
JavaScript
Como funciona o OnClick Event em JavaScript
Ed Treutel IV
Banco de dados Oracle
O Oracle Database é semelhante ao banco de dados MySQL? | Explicado
Evan Mueller
Banco de dados Oracle
Como encontrar o nome do serviço Oracle?
Benny Hilll DDS
Powershell
O que é comando renomear-itens em PowerShell?
Tommie Konopelski
TypeScript
O que é o TypeScript e como usá -lo?
Pedro Macejkovic
Docker
Como o Docker difere do desktop do Docker?
Shaun Bogan
Powershell
Como usar o comando Set-Variable no PowerShell
Bryant Rowe Sr.
C nítido
Condições e, se então declarações em C#
Salvatore Watsica