Cos'è Kerberos Linux
Questo protocollo consente di utilizzare qualsiasi programma abilitato a Kerberos sul sistema operativo Linux senza tagliare le password ogni volta. Kerberos è anche compatibile con altri principali sistemi operativi come Apple Mac OS, Microsoft Windows e FreeBSD.
Lo scopo principale di Kerberos Linux è quello di fornire un mezzo agli utenti di autenticarsi in modo affidabile e sicuro su programmi che utilizzano all'interno del sistema operativo. Naturalmente, i responsabili dell'autorizzazione degli utenti ad accedere a tali sistemi o programmi all'interno della piattaforma. Kerberos può facilmente interfacciarsi con sistemi contabili sicuri, garantendo che il protocollo completi in modo efficiente la triade AAA mediante sistemi autentici, autorizzanti e contabili."
Questo articolo si concentra solo su Kerberos Linux. E oltre alla breve introduzione, imparerai anche quanto segue;
- Componenti del protocollo Kerberos
- Concetti del protocollo Kerberos
- Variabili ambientali che influenzano l'operazione e le prestazioni dei programmi abilitati per Kerberos
- Un elenco di comandi comuni di Kerberos
Componenti del protocollo Kerberos
Mentre l'ultima versione è stata sviluppata per il progetto Athena al MIT (Massachusetts Institute of Technology), lo sviluppo di questo protocollo intuitivo è iniziato negli anni '80 ed è stato pubblicato per la prima volta nel 1983. Deriva il suo nome da Cerberos, mitologia greca e presenta 3 componenti, tra cui;
- Un primario o principale è un identificatore univoco a cui il protocollo può assegnare i biglietti. Un capitale può essere un servizio applicativo o un client/utente. Quindi, finirai con un capitale del servizio per i servizi applicativi o un ID utente per gli utenti. Nomi utente per il primario per gli utenti, mentre il nome di un servizio è il principale per il servizio.
- Una risorsa di rete Kerberos; è un sistema o un'applicazione che consente l'accesso alla risorsa di rete che richiede l'autenticazione tramite un protocollo Kerberos. Questi server possono includere servizi di calcolo remoto, emulazione del terminale, e -mail e file e stampa.
- Un centro di distribuzione chiave o KDC è il servizio di autenticazione, il database e il servizio TGS del protocollo o TGS. Pertanto, un KDC ha 3 funzioni principali. Si è orgoglioso dell'autenticazione reciproca e consente ai nodi di dimostrare la propria identità in modo appropriato l'uno con l'altro. Il processo di autenticazione Kerberos affidabile sfrutta una crittografia segreta condivisa convenzionale per garantire la sicurezza dei pacchetti di informazioni. Questa funzione rende le informazioni illeggibili o immutabili su varie reti.
I concetti fondamentali del protocollo Kerberos
Kerberos fornisce una piattaforma per i server e i clienti per sviluppare un circuito crittografato per garantire che tutte le comunicazioni all'interno della rete rimangano private. Per raggiungere i suoi obiettivi, gli sviluppatori di Kerberos hanno spiegato alcuni concetti per guidarne l'uso e la struttura e includono;
- Non dovrebbe mai consentire la trasmissione di password su una rete poiché gli aggressori possono accedere, intercettare e intercettare ID utente e password.
- Nessuna memoria di password in chiaro su sistemi client o su server di autenticazione
- Gli utenti devono inserire password solo una volta che ogni sessione (SSO) e possono accettare tutti i programmi e i sistemi a cui sono autorizzati ad accedere.
- Un server centrale memorizza e mantiene tutte le credenziali di autenticazione di ciascun utente. Questo rende la protezione delle credenziali dell'utente un gioco da ragazzi. Sebbene i server dell'applicazione non archivieranno le credenziali di autenticazione di nessun utente, consente una serie di applicazioni. L'amministratore può revocare l'accesso di qualsiasi utente a qualsiasi server delle applicazioni senza accedere ai propri server. Un utente può modificare o modificare le proprie password solo una volta e sarà comunque in grado di accedere a tutti i servizi o programmi a cui hanno l'autorità per accedere.
- I server Kerberos lavorano in limitato Regni. I sistemi di nomi di dominio identificano i regni e il dominio del principale è dove funziona il server Kerberos.
- Sia gli utenti che i server delle applicazioni devono autenticarsi ogni volta che viene richiesto.Mentre gli utenti devono autenticarsi durante l'accesso, potrebbe essere necessario autenticare i servizi applicativi al client.
Variabili di ambiente Kerberos
In particolare, Kerberos lavora in determinate variabili di ambiente, con le variabili che incidono direttamente sul funzionamento dei programmi sotto Kerberos. Le variabili di ambiente importanti includono KRB5_KTNAME, KRB5CCNAME, KRB5_KDC_PROFILE, KRB5_TRACE, KRB5RCacheType e KRB5_Config.
La variabile KRB5_Config afferma la posizione dei file della scheda chiave. Di solito, un file della scheda chiave assumerà la forma di Tipo: residuo. E dove non esiste alcun tipo, residuo diventa il nome percorso del file. Il KRB5CCName definisce la posizione delle cache delle credenziali ed esiste sotto forma di Tipo: residuo.
La variabile KRB5_CONFIG specifica la posizione del file di configurazione e il KRB5_KDC_Profile afferma la posizione del file KDC con ulteriori direttive di configurazione. Al contrario, la variabile KRB5RCacheType specifica i tipi predefiniti di cache di riproduzione disponibili per i server. Infine, la variabile KRB5_Trace fornisce il nome file su cui scrivere l'output di traccia.
Un utente o un capitale dovranno disabilitare alcune di queste variabili di ambiente per vari programmi. Ad esempio, setuid o i programmi di accesso dovrebbero rimanere piuttosto sicuri se eseguiti attraverso fonti non attendibili; Quindi le variabili non devono essere attive.
Comandi comuni di Kerberos Linux
Questo elenco è costituito da alcuni dei comandi Kerberos Linux più vitali nel prodotto. Naturalmente, ne discuteremo a lungo in altre sezioni di questo sito Web.
| Comando | Descrizione |
|---|---|
| /usr/bin/kinit | Ottiene e cache le credenziali iniziali di concessione del biglietto per il capitale |
| /usr/bin/klist | Visualizza i biglietti Kerberos esistenti |
| /usr/bin/ftp | Comando protocollo di trasferimento file |
| /USR/Bin/KDestroy | Programma di distruzione del biglietto Kerberos |
| /usr/bin/kpasswd | Modifica le password |
| /usr/bin/rdist | Distribuisce file remoti |
| /usr/bin/rlogin | Un comando di accesso remoto |
| /usr/bin/ktutil | Gestisce i file della scheda chiave |
| /USR/Bin/RCP | Copie i file da remoto |
| /usr/lib/krb5/kprop | Un programma di propagazione del database |
| /usr/bin/telnet | Un programma Telnet |
| /usr/bin/rsh | Un programma di shell remoto |
| /usr/sbin/gsscred | Gestisce le voci del tavolo GSSCRED |
| /usr/sbin/kdb5_ldap_uti | Crea contenitori LDAP per i database in Kerberos |
| /usr/sbin/kgcmgr | Configura KDC Master e Slave KDC |
| /usr/sbin/kclient | Uno script di installazione client |
Conclusione
Kerberos su Linux è considerato il protocollo di autenticazione più sicuro e ampiamente utilizzato. È maturo e sicuro, quindi ideale per l'autenticazione degli utenti in un ambiente Linux. Inoltre, Kerberos può copiare ed eseguire comandi senza errori imprevisti. Utilizza una serie di forti crittografie per proteggere informazioni e dati sensibili su varie reti non garantite.