Kerberosを使用するにはまず、キー配布センタの役割を果たすコンピュータを設定します。このコンピュータは、KDC (Key Distribution Center)と呼ばれます。 このコンピュータのKerberosユーザデータベースには、パスワードや他のすべての関連情報が保管されます。
KDCは、セキュリティインフラストラクチャの最重要部分になります。何者かがこのコンピュータに侵入した場合、Kerberosにより保護されているすべてのユーザアカウントとインフラストラクチャが危険にさらされてしまいます。 Kerberosデータベースにアクセスできた場合、その攻撃者はデータベース中の任意のプリンシパルになりすますことができます。 このマシンには、利用できる最強のセキュリティ手段を適用してください。
また、このサーバコンピュータは、特定の者だけが入室できる鍵のかかったサーバ専用ルームなど、物理的に安全な場所に設置してください。
また、このコンピュータ上では、KDC以外のネットワークアプリケーションは実行しないでください。 ここで、ネッワークアプリケーションには、サーバとクライアントも含まれます。たとえば、KDCでNFSを使ってファイルシステムをインポートしたり、DHCPを使ってネットワーク設定を取得しないでください。
まず、最低限のシステムをインストールしてから、インストールされたパッケージのリストを確認し、不要なパッケージを削除してください。 また、inetd、portmap、およびcupsなどのサーバや、X系のプログラムも削除してください。 SSHサーバも潜在的なセキュリティリスクがあるので、インストールしないようにしてください。
このマシンにGUIは必要ありません。Xサーバも潜在的な危険になります。 Kerberosには、独自の管理インタフェースが用意されています。
ユーザ/グループのルックアップにローカルファイルだけを使用するように、/etc/nsswitch.confを設定します。 たとえば、passwdおよびgroupの行を、次のように変更します。
passwd: files group: files
/etc中のファイルpasswd、group、shadow、およびgshadowを編集し、先頭が「+」で始まる行(NISルックアップ用の行)を削除します。
root以外のすべてのユーザアカウントを無効にします。/etc/shadowを編集して、ハッシュパスワードを「*」や「!」などの文字に置換してください。