Ziel

Einrichten eines Kerberos-Servers auf einer Linux-Maschine, um die Authentifizierung im Netzwerk zu ermöglichen.

Voraussetzungen

• Eine Linux-Maschine mit statischer IP-Adresse und ordnungsgemäß konfiguriertem Hostnamen.
• Die Systemzeit muss synchronisiert sein, was für Kerberos-Authentifizierungen wichtig ist.

Einstellungen

• DOMAIN: wok.lan
• HOSTNAME: maria

Systemeinstellungen

Hostname und Host-Konfiguration

Hostname setzen

• echo "maria.wok.lan" > /etc/hostname

Stellt den Hostnamen auf "maria.wok.lan" ein.

Host-Einträge konfigurieren

• echo -e "127.0.0.1\tlocalhost\n192.168.242.3\tmaria maria.wok.lan" >> /etc/hosts

Fügt die IP-Adresse und den Hostnamen in die "hosts"-Datei ein, damit das System lokale Anfragen korrekt auflösen kann.

DNS-Server konfigurieren

• echo -e "nameserver 192.168.244.151\nsearch wok.lan" > /etc/resolv.conf

Trägt den DNS-Server ein und setzt die Suchdomäne auf "wok.lan".

Systemzeit synchronisieren

Kerberos ist sehr zeitempfindlich. Die Uhrzeiten auf allen beteiligten Systemen müssen synchronisiert sein.

• apt-get update
• apt-get install chrony
• systemctl enable chrony
• systemctl start chrony

Installiert und aktiviert "chrony" zur Zeitsynchronisation.

Installation von Kerberos

• apt-get install krb5-kdc krb5-admin-server

Installiert den Kerberos-Schlüsselverteilungscenter (KDC) und den Administrationsserver.

Erstellen eines neuen Kerberos-Realms

• krb5_newrealm

Erstellt eine neue Kerberos-Datenbank. Notiere den Namen des Hauptschlüssels (z. B. "K/M@WOK.LAN").

Zerstören einer alten Kerberos-Datenbank (nur bei Bedarf)

Falls eine vorherige Konfiguration besteht und gelöscht werden muss:

• kdb5_util -r WOK.LAN -m destroy -f

Überprüfung der Ports

• netstat -4 -lntpu | egrep "kadmind|krb5kdc"

Überprüft, ob die Kerberos-Dienste auf den richtigen Ports (88, 749, 464) lauschen.

Kerberos-Administratorkonto erstellen

• kadmin.local

Öffnet die lokale Kerberos-Administrationskonsole.

• addprinc kerberosadm/admin

Erstellt ein neues Administratorkonto für die Verwaltung des Kerberos-Systems.

Benutzerkonto erstellen

• kadmin.local
• addprinc xinux

Erstellt ein neues Benutzerkonto mit dem Namen "xinux".

Berechtigungen festlegen

Bearbeite die Datei `/etc/krb5kdc/kadm5.acl` und füge Folgendes hinzu, um Administratorrechte zu vergeben:

• /admin *

Neustart des Kerberos-Administrationsservers

• service krb5-admin-server restart

Umgang mit Tickets

Um ein Ticket für den gerade erstellten Benutzer zu erhalten:

• kinit kerberosadm/admin

Gibt das Passwort ein und erhält ein Kerberos-Ticket.

• klist

Zeigt die aktiven Kerberos-Tickets an.

• kdestroy

Zerstört das aktuell aktive Kerberos-Ticket.

Host-Principal erstellen

• kadmin.local
• addprinc -randkey host/maria.wok.lan

Erstellt einen Host-Principal für den Server.

• ktadd -k /etc/krb5.keytab host/maria.wok.lan

Speichert den Host-Principal im Keytab /etc/krb5.keytab.

Links

Kerberos-Konfiguration auf Ubuntu Weitere Informationen zur Kerberos-Integration