什么是 Kerberos Linux

“Kerberos Linux 是一种适用于任何网络环境中的单个 Linux 用户的身份验证协议。它通过验证可信和不可信网络之间的服务请求，帮助在非安全网络上提供安全的单点登录 (SSO) 或安全网络登录。不安全网络的一个很好的例子就是互联网。

该协议允许您在 Linux 操作系统上使用任何支持 Kerberos 的程序，而无需每次都输入密码。 Kerberos 还与其他主要操作系统兼容，例如 Apple Mac OS、Microsoft Windows 和 FreeBSD。

Kerberos Linux 的主要目的是为用户提供一种在操作系统中使用的程序上可靠且安全地验证自己身份的方法。当然，那些负责授权用户访问平台内的那些系统或程序的人。 Kerberos 可以轻松地与安全记账系统交互，确保协议通过身份验证、授权和记账系统有效地完成 AAA 三元组。 ”

本文仅关注 Kerberos Linux。除了简要介绍之外，您还将了解以下内容；

• Kerberos 协议的组成部分

• Kerberos 协议的概念

• 影响启用 Kerberos 的程序的操作和性能的环境变量

• 常见 Kerberos 命令列表

Kerberos 协议的组成部分

虽然最新版本是为 MIT（麻省理工学院）的 Athena 项目开发的，但这种直观协议的开发始于 20 世纪 80 年代，并于 1983 年首次发布。它的名称源自希腊神话 Cerberos，具有 3 个组件，包括;

1. Primary 或主体是协议可以为其分配票证的任何唯一标识符。主体可以是应用程序服务或客户端/用户。因此，您最终将获得应用程序服务的服务主体或用户的用户 ID。用户的主要用户名，而服务的名称是服务的主要名称。

2. Kerberos 网络资源；是允许通过 Kerberos 协议访问需要身份验证的网络资源的系统或应用程序。这些服务器可以包括远程计算、终端仿真、电子邮件以及文件和打印服务。

3. 密钥分发中心或 KDC 是协议的可信身份验证服务、数据库和票证授予服务或 TGS。因此，KDC 有 3 个主要功能。它以相互身份验证而自豪，并允许节点相互证明其身份。可靠的 Kerberos 身份验证过程利用传统的共享秘密加密技术来保证信息包的安全。此功能使得信息在各种网络上不可读或不可更改。

Kerberos协议的核心概念

Kerberos 为服务器和客户端提供了一个开发加密电路的平台，以确保网络内的所有通信保持私密性。为了实现其目标，Kerberos 开发人员阐明了某些概念来指导其使用和结构，其中包括：

• 它绝不应该允许通过网络传输密码，因为攻击者可以访问、窃听和拦截用户 ID 和密码。

• 在客户端系统或身份验证服务器上不以明文形式存储密码

• 用户每次会话 (SSO) 只能输入一次密码，并且他们可以接受他们有权访问的所有程序和系统。

• 中央服务器存储并维护每个用户的所有身份验证凭据。这使得保护用户凭证变得轻而易举。虽然应用程序服务器不会存储任何用户的身份验证凭据，但它允许存储一系列应用程序。管理员可以撤销任何用户对任何应用程序服务器的访问权限，而无需访问其服务器。用户只能修改或更改其密码一次，但他们仍然能够访问他们有权访问的所有服务或程序。

• Kerberos 服务器在有限的领域内工作。域名系统识别领域，主体的域是 Kerberos 服务器运行的地方。

• 用户和应用程序服务器都必须在出现提示时对自己进行身份验证。虽然用户应在登录期间进行身份验证，但应用程序服务可能需要向客户端进行身份验证。

Kerberos 环境变量

值得注意的是，Kerberos 在某些环境变量下工作，这些变量直接影响 Kerberos 下程序的运行。重要的环境变量包括 KRB5_KTNAME、KRB5CCNAME、KRB5_KDC_PROFILE、KRB5_TRACE、KRB5RCACHETYPE 和 KRB5_CONFIG。

KRB5_CONFIG 变量指示密钥选项卡文件的位置。通常，密钥选项卡文件将采用类型：残差的形式。如果不存在类型，residual 将成为文件的路径名。 KRB5CCNAME 定义凭证缓存的位置，并以TYPE：residual 的形式存在。

KRB5_CONFIG 变量指定配置文件的位置，KRB5_KDC_PROFILE 指定带有附加配置指令的 KDC 文件的位置。相反，KRB5RCACHETYPE 变量指定服务器可用的重播缓存的默认类型。最后，KRB5_TRACE 变量提供用于写入跟踪输出的文件名。

用户或主体将需要为各种程序禁用其中一些环境变量。例如，setuid 或登录程序在通过不受信任的来源运行时应该保持相当安全；因此变量不需要处于活动状态。

常见 Kerberos Linux 命令

此列表包含产品中一些最重要的 Kerberos Linux 命令。当然，我们将在本网站的其他部分详细讨论它们。

/usr/bin/klist

显示现有的 Kerberos 票证

/usr/bin/ftp

文件传输协议命令

/usr/bin/kdestroy

Kerberos 票据销毁程序

/usr/bin/kpasswd

更改密码

/usr/bin/rdist

分发远程文件

/usr/bin/rlogin

远程登录命令

/usr/bin/ktutil

管理关键选项卡文件

/usr/bin/rcp

远程复制文件

/usr/lib/krb5/kprop

数据库传播程序

/usr/bin/telnet

远程登录程序

/usr/bin/rsh

远程 shell 程序

/usr/sbin/gsscred

管理 gsscred 表条目

/usr/sbin/kdb5_ldap_uti

在 Kerberos 中为数据库创建 LDAP 容器

/usr/sbin/kgcmgr

配置主 KDC 和从 KDC

/usr/sbin/kclient

客户端安装脚本

结论

Linux 上的 Kerberos 被认为是最安全且使用最广泛的身份验证协议。它成熟且安全，因此非常适合在 Linux 环境中对用户进行身份验证。此外，Kerberos 可以复制和执行命令，而不会出现任何意外错误。它使用一组强大的加密技术来保护各种不安全网络上的敏感信息和数据。