Kerberos Server: Unterschied zwischen den Versionen

Aus Xinux Wiki
Zur Navigation springen Zur Suche springen
Zeile 1: Zeile 1:
=pre setings=
+
= Ziel =
*DOMAIN
+
Einrichten eines Kerberos-Servers auf einer Linux-Maschine, um die Authentifizierung im Netzwerk zu ermöglichen.
wok.lan
 
HOSTNAME
 
maria
 
==div settings==
 
  
cat  /etc/hostname
+
= Voraussetzungen =
maria.wok.lan
+
* Eine Linux-Maschine mit statischer IP-Adresse und ordnungsgemäß konfiguriertem Hostnamen.
 +
* Die Systemzeit muss synchronisiert sein, was für Kerberos-Authentifizierungen wichtig ist.
  
cat  /etc/hosts
+
= Einstellungen =
127.0.0.1 localhost
+
* DOMAIN: wok.lan
192.168.242.3 maria maria.wok.lan
+
* HOSTNAME: maria
  
cat /etc/resolv.conf
+
= Systemeinstellungen =
nameserver 192.168.244.151
 
search wok.lan
 
==test==
 
root@maria:~# host maria
 
maria.wok.lan has address 192.168.242.3
 
 
root@maria:~# host  192.168.242.3
 
3.242.168.192.in-addr.arpa domain name pointer maria.wok.lan.
 
  
=install=
+
== Hostname und Host-Konfiguration ==
apt-get install krb5-kdc krb5-admin-server ntp
 
  
=make a newrealm=
+
=== Hostname setzen ===
krb5_newrealm
+
* echo "maria.wok.lan" > /etc/hostname
=destroy old database=
 
kdb5_util -r SUXER.DE -m destroy -f
 
==hint==
 
in a vrtualmachine you have to supply random data
 
like this in a second console 
 
cat /dev/sda > /dev/urandom
 
  
=note master key name=
+
Stellt den Hostnamen auf "maria.wok.lan" ein.
master key name 'K/M@WOK.LAN'
 
  
=checking the ports=
+
=== Host-Einträge konfigurieren ===
root@maria:~# netstat -4 -lntpu | egrep "kadmind|krb5kdc"
+
* echo -e "127.0.0.1\tlocalhost\n192.168.242.3\tmaria maria.wok.lan" >> /etc/hosts
tcp        0      0 0.0.0.0:749            0.0.0.0:*              LISTEN      2598/kadmind   
 
tcp        0      0 0.0.0.0:464            0.0.0.0:*              LISTEN      2598/kadmind   
 
udp        0      0 0.0.0.0:464            0.0.0.0:*                          2598/kadmind   
 
udp        0      0 0.0.0.0:750            0.0.0.0:*                          2583/krb5kdc   
 
udp        0      0 0.0.0.0:88              0.0.0.0:*                          2583/krb5kdc
 
  
=kadmin.local=
+
Fügt die IP-Adresse und den Hostnamen in die "hosts"-Datei ein, damit das System lokale Anfragen korrekt auflösen kann.
==create an admin account with name "kerberosadm"==
 
root@maria:~# kadmin.local
 
Authenticating as principal root/admin@WOK.LAN with password.
 
kadmin.local:  addprinc kerberosadm/admin
 
WARNING: no policy specified for kerberosadm/admin@WOK.LAN; defaulting to no policy
 
Enter password for principal "kerberosadm/admin@WOK.LAN":
 
Re-enter password for principal "kerberosadm/admin@WOK.LAN":
 
Principal "kerberosadm/admin@WOK.LAN" created.
 
kadmin.local:  exit
 
  
==create an account with name "xinux"==
+
=== DNS-Server konfigurieren ===
root@maria:~# kadmin.local
+
* echo -e "nameserver 192.168.244.151\nsearch wok.lan" > /etc/resolv.conf
kadmin.local:  addprinc xinux
 
WARNING: no policy specified for xinux@WOK.LAN; defaulting to no policy
 
Enter password for principal "xinux@WOK.LAN":
 
Re-enter password for principal "xinux@WOK.LAN":
 
Principal "xinux@WOK.LAN" created.
 
kadmin.local:  exit
 
==rights==
 
edit /etc/krb5kdc/kadm5.acl
 
  */admin *
 
restart
 
root@maria:~# service krb5-admin-server restart
 
* Restarting Kerberos administrative servers kadmind
 
  
=ticket handling=
+
Trägt den DNS-Server ein und setzt die Suchdomäne auf "wok.lan".
root@maria:~# kinit kerberosadm/admin
 
Password for kerberosadm/admin@WOK.LAN:
 
  
root@maria:~# klist
+
= Systemzeit synchronisieren =
Ticket cache: FILE:/tmp/krb5cc_0
+
Kerberos ist sehr zeitempfindlich. Die Uhrzeiten auf allen beteiligten Systemen müssen synchronisiert sein.
Default principal: kerberosadm/admin@WOK.LAN
 
 
Valid starting      Expires              Service principal
 
10.09.2014 15:11:35  11.09.2014 01:11:35  krbtgt/WOK.LAN@WOK.LAN
 
renew until 11.09.2014 15:11:32
 
  
root@maria:~# kdestroy
+
* apt-get update
 +
* apt-get install chrony
 +
* systemctl enable chrony
 +
* systemctl start chrony
  
root@maria:~# klist
+
Installiert und aktiviert "chrony" zur Zeitsynchronisation.
klist: No credentials cache found (ticket cache FILE:/tmp/krb5cc_0)
 
  
==create host principal==
+
= Installation von Kerberos =
root@maria:~# kadmin.local
 
kadmin.local:  addprinc -randkey host/maria.wok.lan
 
WARNING: no policy specified for host/maria.wok.lan@WOK.LAN; defaulting to no policy
 
Principal "host/maria.wok.lan@WOK.LAN" created.
 
  
kadmin.local:  ktadd -k /etc/krb5.keytab host/maria.wok.lan
+
* apt-get install krb5-kdc krb5-admin-server
Entry for principal host/maria.wok.lan with kvno 2, encryption type aes256-cts-hmac-sha1-96 added to keytab WRFILE:/etc/krb5.keytab.
 
Entry for principal host/maria.wok.lan with kvno 2, encryption type arcfour-hmac added to keytab WRFILE:/etc/krb5.keytab.
 
Entry for principal host/maria.wok.lan with kvno 2, encryption type des3-cbc-sha1 added to keytab WRFILE:/etc/krb5.keytab.
 
Entry for principal host/maria.wok.lan with kvno 2, encryption type des-cbc-crc added to keytab WRFILE:/etc/krb5.keytab.
 
kadmin.local: exit
 
  
=Links=
+
Installiert den Kerberos-Schlüsselverteilungscenter (KDC) und den Administrationsserver.
*http://wiki.ubuntuusers.de/Kerberos
+
 
errors
+
= Erstellen eines neuen Kerberos-Realms =
*http://research.imb.uq.edu.au/~l.rathbone/ldap/kerberos.shtml
+
 
 +
* krb5_newrealm
 +
 
 +
Erstellt eine neue Kerberos-Datenbank. Notiere den Namen des Hauptschlüssels (z. B. "K/M@WOK.LAN").
 +
 
 +
= Zerstören einer alten Kerberos-Datenbank (nur bei Bedarf) =
 +
Falls eine vorherige Konfiguration besteht und gelöscht werden muss:
 +
 
 +
* kdb5_util -r WOK.LAN -m destroy -f
 +
 
 +
= Überprüfung der Ports =
 +
* netstat -4 -lntpu | egrep "kadmind|krb5kdc"
 +
 
 +
Überprüft, ob die Kerberos-Dienste auf den richtigen Ports (88, 749, 464) lauschen.
 +
 
 +
= Kerberos-Administratorkonto erstellen =
 +
 
 +
* kadmin.local
 +
 
 +
Öffnet die lokale Kerberos-Administrationskonsole.
 +
 
 +
* addprinc kerberosadm/admin
 +
 
 +
Erstellt ein neues Administratorkonto für die Verwaltung des Kerberos-Systems.
 +
 
 +
= Benutzerkonto erstellen =
 +
 
 +
* kadmin.local
 +
* addprinc xinux
 +
 
 +
Erstellt ein neues Benutzerkonto mit dem Namen "xinux".
 +
 
 +
= Berechtigungen festlegen =
 +
 
 +
Bearbeite die Datei `/etc/krb5kdc/kadm5.acl` und füge Folgendes hinzu, um Administratorrechte zu vergeben:
 +
 
 +
```text
 +
*/admin *

Version vom 7. Oktober 2024, 05:04 Uhr

Ziel

Einrichten eines Kerberos-Servers auf einer Linux-Maschine, um die Authentifizierung im Netzwerk zu ermöglichen.

Voraussetzungen

  • Eine Linux-Maschine mit statischer IP-Adresse und ordnungsgemäß konfiguriertem Hostnamen.
  • Die Systemzeit muss synchronisiert sein, was für Kerberos-Authentifizierungen wichtig ist.

Einstellungen

  • DOMAIN: wok.lan
  • HOSTNAME: maria

Systemeinstellungen

Hostname und Host-Konfiguration

Hostname setzen

  • echo "maria.wok.lan" > /etc/hostname

Stellt den Hostnamen auf "maria.wok.lan" ein.

Host-Einträge konfigurieren

  • echo -e "127.0.0.1\tlocalhost\n192.168.242.3\tmaria maria.wok.lan" >> /etc/hosts

Fügt die IP-Adresse und den Hostnamen in die "hosts"-Datei ein, damit das System lokale Anfragen korrekt auflösen kann.

DNS-Server konfigurieren

  • echo -e "nameserver 192.168.244.151\nsearch wok.lan" > /etc/resolv.conf

Trägt den DNS-Server ein und setzt die Suchdomäne auf "wok.lan".

Systemzeit synchronisieren

Kerberos ist sehr zeitempfindlich. Die Uhrzeiten auf allen beteiligten Systemen müssen synchronisiert sein.

  • apt-get update
  • apt-get install chrony
  • systemctl enable chrony
  • systemctl start chrony

Installiert und aktiviert "chrony" zur Zeitsynchronisation.

Installation von Kerberos

  • apt-get install krb5-kdc krb5-admin-server

Installiert den Kerberos-Schlüsselverteilungscenter (KDC) und den Administrationsserver.

Erstellen eines neuen Kerberos-Realms

  • krb5_newrealm

Erstellt eine neue Kerberos-Datenbank. Notiere den Namen des Hauptschlüssels (z. B. "K/M@WOK.LAN").

Zerstören einer alten Kerberos-Datenbank (nur bei Bedarf)

Falls eine vorherige Konfiguration besteht und gelöscht werden muss:

  • kdb5_util -r WOK.LAN -m destroy -f

Überprüfung der Ports

  • netstat -4 -lntpu | egrep "kadmind|krb5kdc"

Überprüft, ob die Kerberos-Dienste auf den richtigen Ports (88, 749, 464) lauschen.

Kerberos-Administratorkonto erstellen

  • kadmin.local

Öffnet die lokale Kerberos-Administrationskonsole.

  • addprinc kerberosadm/admin

Erstellt ein neues Administratorkonto für die Verwaltung des Kerberos-Systems.

Benutzerkonto erstellen

  • kadmin.local
  • addprinc xinux

Erstellt ein neues Benutzerkonto mit dem Namen "xinux".

Berechtigungen festlegen

Bearbeite die Datei `/etc/krb5kdc/kadm5.acl` und füge Folgendes hinzu, um Administratorrechte zu vergeben:

```text

  • /admin *
Abgerufen von „http://wiki.ixheim.de/index.php?title=Kerberos_Server&oldid=57175