本节介绍 KDC 的初始配置和安装,包括创建管理主体。此过程包括几个步骤:
安装 RPM. 在指定为 KDC 的计算机上,安装特殊的软件包。有关详细信息,请参见第 46.4.1 节 “安装 RPM”。
调整配置文件.
必须为您的方案调整配置文件 /etc/krb5.conf 和 /var/lib/kerberos/krb5kdc/kdc.conf。这些文件 KDC 上的所有信息。
创建 Kerberos 数据库. Kerberos 保持所有主体标识和需要被认证的所有主体密码的数据库。
调整 ACL 文件:添加管理员. 可以远程管理 KDC 上的 Kerberos 数据库。要防止未授权的主体篡改数据库,Kerberos 使用访问控制列表。您必须为管理主体启用远程访问使他能够管理数据库。
调整 Kerberos 数据库:添加管理员. 您至少需要一个管理主体来运行和管理 Kerberos。必须在启动 KDC 之前添加了该主体。
启动 Kerberos 守护程序. 一旦安装了 KDC 软件并且正确配置了,就可以启动 Kerberos 守护程序为您的领域提供 Kerberos 服务。
为您自己创建主体.
下一步是初始化 Kerberos 用来保存所有主体信息的数据库。设置数据库主密钥,此密钥用于保护数据库不会被意外泄漏,特别是当它在备份到磁带时。主密钥是从密码短语派生的,储存在名为暂存文件的文件中。这就是您每次重启动 KDC 时无需键入密码的原因。确保选择一个适当的通行密码,如从一本书随机打开的一页中找出的一句话。
在对 Kerberos 数据库 (/var/lib/kerberos/krb5kdc/principal) 进行磁带备份时,切勿备份暂存文件(它位于 /var/lib/kerberos/krb5kdc/.k5.EXAMPLE.COM 中)。否则,能够读到此磁带的所有人都可以解密数据库。因此,将通行密码副本保存在安全位置也是一个很好的选择,因为在系统崩溃后从备份磁带恢复数据库时将用到它。
要创建暂存文件和数据库,请运行:
$> kdb5_util create -r EXAMPLE.COM -s Initializing database '/var/lib/kerberos/krb5kdc/principal' for realm 'EXAMPLE.COM', master key name 'K/M@EXAMPLE.COM' You will be prompted for the database Master Password. It is important that you NOT FORGET this password. Enter KDC database master key: <= Type the master password. Re-enter KDC database master key to verify: <= Type it again. $>
要验证它执行的操作,请使用 list 命令:
$>kadmin.local kadmin> listprincs K/M@EXAMPLE.COM kadmin/admin@EXAMPLE.COM kadmin/changepw@EXAMPLE.COM krbtgt/EXAMPLE.COM@EXAMPLE.COM
这表明数据库中现在有许多主体。所有这些主体由 Kerberos 内部使用。
下一步,为自己创建两个 Kerberos 主体,一个常规主体用于日常工作,另一个用于与 Kerberos 相关的管理任务。假定您的登录名是 newbie,按以下步骤操作:
kadmin.local kadmin> ank newbie newbie@EXAMPLE.COM's Password: <type password here> Verifying password: <re-type password here>
接下来,创建名为 newbie/admin 的另一个主体,方法是在 kadmin 提示符处键入 addnewbie/admin。您的用户名的 admin 后缀指定了您的角色。稍后在管理 Kerberos 数据库时将使用此角色。一个用户可以有用于不同目的的多个角色。基本上,角色是具有类似名称的完全不同的帐户。