要使用 Kerberos,首先需要一台用作密钥分发中心(或简称 KDC)的计算机。这台计算机将储存整个 Kerberos 用户数据库,其中包含密码和所有信息。
KDC 是安全基础结构中最重要的部分 - 如果有人侵入,则 Kerberos 保护的所有用户帐户和基础结构都会受到危害。能够访问 Kerberos 数据库的攻击者可以冒充数据库中的任何主体。所以应尽可能提高此计算机的安全性:
将服务器计算机放在一个以物理方式保护的位置,如只有极少数人才可进入的加锁服务器室。
除了 KDC 以外,不要在它上面运行任何网络应用程序。其中包括服务器和客户机 - 例如,KDC 不应通过 NFS 导入任何文件系统或使用 DHCP 检索其网络配置。
首先安装最小系统,然后检查已安装的包列表并除去任何不需要的包。其中包括服务器(如 inetd、portmap 和 cups)以及基于 X 的任何服务器。甚至安装 SSH 服务器也应该考虑是一个潜在的安全性风险。
在此计算机上不提供图形登录,因为 X 服务器具有潜在的安全风险。Kerberos 提供它自己的管理界面。
将 /etc/nsswitch.conf 配置为仅使用本地文件进行用户和组查找。将 passwd 和 group 的行进行如下更改:
passwd: files group: files
在 /etc 中编辑 passwd、group、shadow 和 gshadow 文件,并删除任何以 + 字符开头的行(这些行用于 NIS 查找)。
禁用除 root 用户帐户外的所有用户帐户,方法是编辑 /etc/shadow 并用 * 或 ! 字符.