Usa il servizio Kerberos su Linux

Uno dei passaggi più impegnativi per gli amministratori di dati è l'intero processo di manutenzione della sicurezza e dell'integrità dei sistemi. Il processo critico prevede di assumersi la responsabilità di ciò che ogni utente fa. Implica anche una comprensione e un controllo approfonditi di qualunque cosa accada con ogni applicazione, server e servizio all'interno dell'infrastruttura di rete.

Kerberos rimane uno dei protocolli di autenticazione più sicuri negli ambienti Linux. Scoprirai in seguito che Kerberos è utile anche per scopi di crittografia.

Questo articolo discute come implementare il servizio Kerberos su Linux Operating System. La guida ti porterà attraverso i passaggi obbligatori che garantiscono che il servizio Kerberos su un sistema Linux abbia esito positivo.

Utilizzo del servizio Kerberos su Linux: una panoramica

L'essenza dell'autenticazione è quella di fornire un processo affidabile per garantire di identificare tutti gli utenti nella tua workstation. Aiuta anche a controllare ciò che gli utenti possono accedere. Questo processo è piuttosto difficile negli ambienti di rete aperti a meno che non si faccia affidamento esclusivamente sull'accesso a ciascun programma da parte di ciascun utente che utilizza le password.

Ma in casi ordinari, gli utenti devono essere chiave nelle password per accedere a ciascun servizio o applicazione. Questo processo può essere frenetico. Ancora una volta, l'uso di password ogni volta è una ricetta per la perdita di password o la vulnerabilità al crimine informatico. Kerberos è utile in questi casi.

Oltre a consentire agli utenti di registrarsi una sola volta e di accedere a tutte le applicazioni, Kerberos consente anche all'amministratore di controllare continuamente ciò che ogni utente può accedere. Idealmente, l'uso del Kerberos Linux mira con successo ad affrontare quanto segue;

• Assicurati che ogni utente abbia la sua identità univoca e nessun utente prende l'identità di qualcun altro.
• Assicurarsi che ogni server abbia la sua identità univoca e lo dimostra. Questo requisito impedisce la possibilità di aggressori che si insinuano per impersonare i server.

Guida passo per passo su come utilizzare Kerberos in Linux

I seguenti passaggi ti aiuteranno a utilizzare con successo Kerberos in Linux:

Passaggio 1: conferma se hai installato KBR5 nella macchina

Controlla se è installata l'ultima versione di Kerberos utilizzando il comando di seguito. Se non ce l'hai, puoi scaricare e installare KBR5. Abbiamo già discusso del processo di installazione in un altro articolo.

Passaggio 2: creare un percorso di ricerca

Dovrai creare un percorso di ricerca aggiungendo /usr/kerberos/bin e/usr/kerberos/sbin al percorso di ricerca.

Passaggio 3: imposta il nome del tuo regno

Il tuo vero nome dovrebbe essere il tuo nome di dominio DNS. Questo comando è:

Dovrai modificare i risultati di questo comando per adattarsi al tuo ambiente Realm.

Passaggio 4: creare e avviare il tuo database KDC per il principale

Crea un centro di distribuzione chiave per il database principale. Naturalmente, questo è anche il punto in cui dovrai creare la password principale per le operazioni. Questo comando è necessario:

Una volta creato, è possibile avviare il KDC utilizzando il comando seguente:

Passaggio 5: impostare un principale principale di Kerberos

È tempo di impostare un capitale KBR5 per te. Dovrebbe avere privilegi amministrativi poiché avrai bisogno dei privilegi per amministrare, controllare ed eseguire il sistema. Dovrai anche creare un preside host per l'host KDC. Il prompt per questo comando sarà:

# kadmind [-m]

È a questo punto che potrebbe essere necessario configurare il tuo Kerberos. Vai al dominio predefinito nel file “/etc/krb5.config ”e inserisci il seguente solault_realm = ist.Utl.Pt. Il regno dovrebbe anche abbinare il nome di dominio. In questo caso, Kenhint.Com è la configurazione del dominio richiesta per il servizio di dominio nel master primario.

Dopo aver completato i processi sopra, verrà visualizzata una finestra che cattura il riepilogo dello stato delle risorse di rete fino a questo punto, come mostrato di seguito:

Si consiglia alla rete di convalidare gli utenti. In questo caso, abbiamo Kenhint dovrebbe avere un UID in un intervallo più elevato rispetto agli utenti locali.

Passaggio 6: utilizzare il comando Kerberos Kinit Linux per testare il nuovo principale

L'utilità Kinit viene utilizzata per testare il nuovo preside creato come catturato di seguito:

Passaggio 7: creare contatto

Creare il contatto è un passo incredibilmente vitale. Esegui sia il server che rallenta il ticket e il server di autenticazione. Il server che concede il ticket sarà su una macchina dedicata che è accessibile solo dall'amministratore sulla rete e fisicamente. Ridurre tutti i servizi di networking al minor numero possibile. Non dovresti nemmeno eseguire il servizio SSHD.

Come ogni processo di accesso, la tua prima interazione con KBR5 comporterà la chiave in determinati dettagli. Una volta inserito il tuo nome utente, il sistema invierà le informazioni al server di autenticazione di Linux Kerberos. Una volta che il server di autenticazione ti identifica, genererà una sessione casuale per la corrispondenza continua tra il server che rallenta il ticket e il client.

Il biglietto di solito conterrà i seguenti dettagli:

Nomi sia del server che concede il ticket e del client

• Ticket Lifetime
• Ora attuale
• La chiave di nuova generazione
• L'indirizzo IP del client

Passaggio 8: testare utilizzando il comando Kinit Kerberos per ottenere le credenziali dell'utente

Durante il processo di installazione, il dominio predefinito è impostato su IST.Utl. PT dal pacchetto di installazione. Successivamente, è possibile ottenere un ticket usando il comando Kinit come catturato nell'immagine qui sotto:

Nello screenshot sopra, Istkenhint si riferisce all'ID utente. Questo ID utente verrà inoltre fornito con una password per verificare se esiste un biglietto Kerberos valido. Il comando kinit viene utilizzato per mostrare o recuperare i biglietti e le credenziali presenti nella rete.

Dopo l'installazione, è possibile utilizzare questo comando Kinit predefinito per ottenere un ticket se non si dispone di un dominio personalizzato. Puoi anche personalizzare del tutto un dominio.

In questo caso, Istkenhint è l'ID di rete corrispondente.

Passaggio 9: testare il sistema di amministrazione utilizzando la password ottenuta in precedenza

I risultati della documentazione sono rappresentati di seguito dopo una corretta esecuzione del comando sopra:

Passaggio 10: riavviare il Kadmin Servizio

Riavvia il server utilizzando il # kadmind [-m] Il comando ti dà accesso all'elenco di controllo degli utenti nell'elenco.

Passaggio 11: monitorare come funziona il sistema

Lo screenshot seguente evidenzia i comandi aggiunti in/etc/denominati/db.Kenhint.com per supportare i clienti nel determinare automaticamente il centro di distribuzione chiave per i regni utilizzando gli elementi DNS SRV.

Passaggio 12: usa il comando klist per esaminare il biglietto e le credenziali

Dopo aver inserito la password corretta, l'utilità KLIST visualizzerà le informazioni di seguito sullo stato del servizio Kerberos in esecuzione nel sistema Linux, come mostrato dallo screenshot di seguito:

La cartella Cache KRB5CC_001 contiene la denotazione KRB5CC_ e l'identificazione dell'utente come indicato nelle schermate precedenti. È possibile aggiungere una voce al file /etc /host per il client KDC per stabilire l'identità con il server come indicato di seguito:

Conclusione

Dopo aver completato i passaggi sopra, il regno e i servizi di Kerberos avviati dal server Kerberos sono pronti e in esecuzione sul sistema Linux. Puoi continuare a utilizzare i tuoi Kerberos per autenticare altri utenti e modificare i privilegi utente.