配置 Linux 以验证 Kerberos

Kerberos 仍然是大多数工作环境中最安全的身份验证协议之一。它为非安全网络上的用户提供可靠的单点登录或网络登录。理想情况下，Kerberos 为用户提供票证，帮助他们最大程度地减少在网络上频繁使用密码的次数。

频繁使用密码会增加数据泄露或密码被盗的可能性。但与大多数身份验证协议一样，Kerberos 的成功依赖于正确的安装和设置。

许多人有时发现配置 Linux 使用 Kerberos 是一项乏味的任务。对于初次使用的用户来说确实如此。然而，配置 Linux 以使用 Kerberos 进行身份验证并不像您想象的那么复杂。

本文为您提供了有关配置 Linux 以使用 Kerberos 进行身份验证的分步指南。您将从本文中学到的内容包括：

有关如何配置 Linux 以使用 Kerberos 进行身份验证的分步指南

以下步骤应帮助您配置 Linux 以使用 Kerberos 进行身份验证

首先，您需要确保在开始配置过程之前执行以下操作：

您必须拥有一个正常运行的 Kerberos Linux 环境。值得注意的是，您必须确保在不同的计算机上设置 Kerberos 服务器 (KDC) 和 Kerberos 客户端。假设服务器使用以下 Internet 协议地址表示：192.168.1.14，客户端在以下地址 192.168.1.15 上运行。客户向 KDC 索取票据。
时间同步是强制性的。您将使用网络时间同步 (NTP) 来确保两台计算机在同一时间范围内运行。任何超过 5 分钟的时间差都会导致身份验证过程失败。
您将需要 DNS 来进行身份验证。域网络服务将有助于解决系统环境中的冲突。

您应该已经拥有在安装过程中设置的功能 KDC。您可以在 KDC 上运行以下命令：

检查/etc/krb5.conf文件以找出存在哪些软件包。以下是默认配置的副本：

成功配置后，您可以编辑 /var/Kerberos/krb5kdc/kdc.conf 文件，方法是删除领域部分 default_reams 中的任何注释，并更改它们以适合您的 Kerberos 环境。

成功确认上述详细信息后，我们继续使用 kdb_5 创建 Kerberos 数据库。您创建的密码在这里至关重要。它将充当我们的主密钥，因为我们将使用它来加密数据库以实现安全存储。

上面的命令将执行一分钟左右以加载随机数据。在压机保持器周围或在 GUI 中移动鼠标可能会加快该过程。

下一步是服务管理。您可以自动启动系统以启用 kadmin 和 krb5kdc 服务器。您的 KDC 服务将在您重新启动系统后自动配置。

如果上述步骤执行成功，您应该开始配置防火墙。防火墙配置涉及设置正确的防火墙规则，使系统能够与 kdc 服务进行通信。

下面的命令应该会派上用场：

初始化的 Kerberos 服务应允许来自 TCP 和 UDP 端口 80 的流量。您可以执行确认测试来确定这一点。

在本例中，我们允许 Kerberos 支持需要 kadmin TCP 740 的流量。远程访问协议将考虑配置并增强本地访问的安全性。

使用 kadnim.local 命令管理密钥分发中心。此步骤允许您访问并查看 kadmin.local 中的内容。您可以使用“? ” 命令来查看如何在用户帐户中应用 addprinc 来添加主体。

密钥分配中心将接受连接并向用户提供此时的票证。有一些方法可以方便地设置客户端组件。但是，我们将在本演示中使用图形用户协议，因为它实现起来既简单又快速。

首先，我们必须使用以下命令安装 authconfig-gtk 应用程序：

完成配置并在终端窗口中运行上述命令后，将出现身份验证配置窗口。下一步是从身份和身份验证下拉菜单中选择 LDAP 元素，然后键入 Kerberos 作为与领域和密钥分发中心信息对应的密码。在本例中，192.168.1.14 是互联网协议。

完成后应用这些修改。

完成上述步骤后，您将在安装后拥有完全配置的 Kerberos 和客户端服务器。上面的指南介绍了配置 Linux 以使用 Kerberos 进行身份验证的过程。当然，您可以创建一个用户。