Configurazione di Linux per autenticare Kerberos

Configurazione di Linux per autenticare Kerberos
Kerberos rimane uno dei protocolli di autenticazione più sicuri per la maggior parte degli ambienti di lavoro. Fornisce accessi affidabili a singolo segnale o rete per gli utenti su reti non sicure. Idealmente, Kerberos fornisce agli utenti i biglietti per aiutarli a ridurre al minimo l'uso frequente delle password sulle reti.

L'uso frequente di password aumenta la possibilità di una violazione dei dati o di un furto di password. Ma come la maggior parte dei protocolli di autenticazione, il tuo successo con Kerberos si basa su una corretta installazione e configurazione.

Molte persone a volte trovano la configurazione di Linux per utilizzare Kerberos un compito noioso. Questo può essere vero per gli utenti per la prima volta. Tuttavia, la configurazione di Linux per l'autenticazione con Kerberos non è così complicata come pensi.

Questo articolo ti fornisce una guida passo-passo sulla configurazione di Linux per l'autenticazione utilizzando Kerberos. Tra le cose che imparerai da questo articolo include:

  • Impostazione dei tuoi server
  • I prerequisiti necessari per la configurazione di Linux Kerberos
  • Impostazione del tuo KDC e database
  • Gestione e amministrazione dei servizi Kerberos

Guida passo per passo su come configurare Linux per autenticare usando Kerberos

I seguenti passaggi dovrebbero aiutarti a configurare Linux per autenticare con Kerberos

Passaggio 1: assicurarsi che entrambe le macchine soddisfino i prerequisiti per la configurazione di Kerberos Linux

Prima di tutto, devi assicurarti di fare quanto segue prima di iniziare il processo di configurazione:

  1. Devi avere un ambiente funzionale Kerberos Linux. In particolare, devi assicurarti di avere un server Kerberos (KDC) e il client Kerberos impostato in macchine separate. Supponiamo che il server sia indicato con i seguenti indirizzi del protocollo Internet: 192.168.1.14 e il client esegue il seguente indirizzo 192.168.1.15. Il cliente chiede i biglietti dal KDC.
  2. La sincronizzazione del tempo è obbligatoria. Utilizzerai la sincronizzazione del tempo di rete (NTP) per garantire che entrambe le macchine finiscano nello stesso lasso di tempo. Qualsiasi differenza di tempo di oltre 5 minuti comporterà un processo di autenticazione fallita.
  3. Avrai bisogno di un DNS per l'autenticazione. Il servizio di rete di dominio aiuterà a risolvere i conflitti nell'ambiente di sistema.

Passaggio 2: impostare un centro di distribuzione delle chiavi

Dovresti già avere un KDC funzionale che hai impostato durante l'installazione. Puoi eseguire il comando seguente sul tuo KDC:

Passaggio 3: controllare i pacchetti installati

Controlla il/ etc/ krb5.conf file per scoprire quali pacchetti esistono. Di seguito è una copia della configurazione predefinita:

Passaggio 4: Modifica il predefinito/var/kerberos/krb5kdc/kdc.Conf File

Dopo una configurazione corretta, è possibile modificare/var/kerberos/krb5kdc/kdc.File conf rimuovendo eventuali commenti nella sezione Realm, default_reams e cambiandoli per adattarsi al tuo ambiente Kerberos.

Passaggio 5: crea il database Kerberos

Dopo la corretta conferma dei dettagli sopra, procediamo a creare il database Kerberos utilizzando KDB_5. La password che hai creato è essenziale qui. Farà come la nostra chiave principale in quanto la useremo per crittografare il database per l'archiviazione sicura.

Il comando sopra eseguirà per circa un minuto per caricare dati casuali. Spostare il mouse attorno alla stampa mantiene o nella GUI potenzialmente fisserà il processo.

Passaggio 6: Gestione del servizio

Il prossimo passo è la gestione del servizio. È possibile avviare automaticamente il tuo sistema per abilitare i server Kadmin e KRB5KDC. I tuoi servizi KDC si configurano automaticamente dopo aver riavviato il sistema.

Passaggio 7: configurare i firewall

Se l'esecuzione dei passaggi precedenti ha esito positivo, è necessario spostarsi per configurare il firewall. La configurazione del firewall prevede l'impostazione delle regole del firewall corrette che consentono al sistema di comunicare con i servizi KDC.

Il comando seguente dovrebbe tornare utile:

Passaggio 8: test se il KRB5KDC comunica con le porte

Il servizio Kerberos inizializzato dovrebbe consentire il traffico dalla porta TCP e UDP 80. È possibile eseguire il test di conferma per accertare questo.

In questo caso, abbiamo permesso ai Kerberos di supportare il traffico che richiede Kadmin TCP 740. Il protocollo di accesso remoto prenderà in considerazione la configurazione e migliorerà la sicurezza per l'accesso locale.

Passaggio 9: amministrazione Kerberos

Amministrare il centro di distribuzione delle chiavi utilizzando Kadnim.comando locale. Questo passaggio consente di accedere e visualizzare il contenuto nel Kadmin.Locale. Puoi usare il "?"Comando per vedere come viene applicato AddPrinc nell'account utente per l'aggiunta di un capitale.

Passaggio 10: impostare il client

Il centro di distribuzione chiave accetterà connessioni e offrirà i biglietti agli utenti a questo punto. Alcuni metodi sono utili per la configurazione del componente client. Tuttavia, useremo il protocollo utente grafico per questa dimostrazione in quanto è facile e rapido da implementare.

Innanzitutto, dobbiamo installare l'applicazione AuthConfig-GTK utilizzando i comandi di seguito:

La finestra di configurazione di autenticazione verrà visualizzata dopo aver completato la configurazione ed eseguito il comando sopra nella finestra del terminale. La mossa successiva è selezionare l'elemento LDAP dal menu a discesa di identità e autenticazione e digitare Kerberos come password corrispondente al regno e alle informazioni sul centro di distribuzione delle chiavi. In questo caso, 192.168.1.14 è il protocollo Internet.

Applica queste modifiche una volta eseguite.

Conclusione

Avrai un Kerberos completamente configurato e il server client dopo l'installazione quando si completano i passaggi sopra. La guida sopra ne prende una attraverso il processo di configurazione di Linux per autenticare con Kerberos. Naturalmente, puoi quindi creare un utente.