Kerberos Server: Unterschied zwischen den Versionen
Thomas (Diskussion | Beiträge) |
|||
| (21 dazwischenliegende Versionen von 2 Benutzern werden nicht angezeigt) | |||
| Zeile 1: | Zeile 1: | ||
| − | =install= | + | = Ziel = |
| − | + | Einrichten eines Kerberos-Servers auf einer Linux-Maschine, um die Authentifizierung im Netzwerk zu ermöglichen. | |
| − | = | + | |
| − | + | = Voraussetzungen = | |
| − | == | + | * Eine Linux-Maschine mit statischer IP-Adresse und ordnungsgemäß konfiguriertem Hostnamen. |
| − | + | * Die Systemzeit muss synchronisiert sein, was für Kerberos-Authentifizierungen wichtig ist. | |
| − | + | ||
| − | + | = Einstellungen = | |
| + | * DOMAIN: wok.lan | ||
| + | * HOSTNAME: maria | ||
| + | |||
| + | = Systemeinstellungen = | ||
| + | |||
| + | == Hostname und Host-Konfiguration == | ||
| + | |||
| + | === Hostname setzen === | ||
| + | * echo "maria.wok.lan" > /etc/hostname | ||
| + | |||
| + | Stellt den Hostnamen auf "maria.wok.lan" ein. | ||
| + | |||
| + | === Host-Einträge konfigurieren === | ||
| + | * echo -e "127.0.0.1\tlocalhost\n192.168.242.3\tmaria maria.wok.lan" >> /etc/hosts | ||
| + | |||
| + | Fügt die IP-Adresse und den Hostnamen in die "hosts"-Datei ein, damit das System lokale Anfragen korrekt auflösen kann. | ||
| + | |||
| + | === DNS-Server konfigurieren === | ||
| + | * echo -e "nameserver 192.168.244.151\nsearch wok.lan" > /etc/resolv.conf | ||
| + | |||
| + | Trägt den DNS-Server ein und setzt die Suchdomäne auf "wok.lan". | ||
| + | |||
| + | = Systemzeit synchronisieren = | ||
| + | Kerberos ist sehr zeitempfindlich. Die Uhrzeiten auf allen beteiligten Systemen müssen synchronisiert sein. | ||
| + | |||
| + | * apt-get update | ||
| + | * apt-get install chrony | ||
| + | * systemctl enable chrony | ||
| + | * systemctl start chrony | ||
| + | |||
| + | Installiert und aktiviert "chrony" zur Zeitsynchronisation. | ||
| + | |||
| + | = Installation von Kerberos = | ||
| + | |||
| + | * apt-get install krb5-kdc krb5-admin-server | ||
| + | |||
| + | Installiert den Kerberos-Schlüsselverteilungscenter (KDC) und den Administrationsserver. | ||
| + | |||
| + | = Erstellen eines neuen Kerberos-Realms = | ||
| + | |||
| + | * krb5_newrealm | ||
| + | |||
| + | Erstellt eine neue Kerberos-Datenbank. Notiere den Namen des Hauptschlüssels (z. B. "K/M@WOK.LAN"). | ||
| + | |||
| + | = Zerstören einer alten Kerberos-Datenbank (nur bei Bedarf) = | ||
| + | Falls eine vorherige Konfiguration besteht und gelöscht werden muss: | ||
| + | |||
| + | * kdb5_util -r WOK.LAN -m destroy -f | ||
| + | |||
| + | = Überprüfung der Ports = | ||
| + | * netstat -4 -lntpu | egrep "kadmind|krb5kdc" | ||
| + | |||
| + | Überprüft, ob die Kerberos-Dienste auf den richtigen Ports (88, 749, 464) lauschen. | ||
| + | |||
| + | = Kerberos-Administratorkonto erstellen = | ||
| + | |||
| + | * kadmin.local | ||
| + | |||
| + | Öffnet die lokale Kerberos-Administrationskonsole. | ||
| + | |||
| + | * addprinc kerberosadm/admin | ||
| + | |||
| + | Erstellt ein neues Administratorkonto für die Verwaltung des Kerberos-Systems. | ||
| + | |||
| + | = Benutzerkonto erstellen = | ||
| + | |||
| + | * kadmin.local | ||
| + | * addprinc xinux | ||
| + | |||
| + | Erstellt ein neues Benutzerkonto mit dem Namen "xinux". | ||
| + | |||
| + | = Berechtigungen festlegen = | ||
| + | |||
| + | Bearbeite die Datei `/etc/krb5kdc/kadm5.acl` und füge Folgendes hinzu, um Administratorrechte zu vergeben: | ||
| + | |||
| + | */admin * | ||
| + | |||
| + | = Neustart des Kerberos-Administrationsservers = | ||
| + | |||
| + | *service krb5-admin-server restart | ||
| + | = Umgang mit Tickets = | ||
| + | |||
| + | Um ein Ticket für den gerade erstellten Benutzer zu erhalten: | ||
| + | |||
| + | *kinit kerberosadm/admin | ||
| + | Gibt das Passwort ein und erhält ein Kerberos-Ticket. | ||
| + | |||
| + | *klist | ||
| + | Zeigt die aktiven Kerberos-Tickets an. | ||
| + | |||
| + | *kdestroy | ||
| + | Zerstört das aktuell aktive Kerberos-Ticket. | ||
| + | |||
| + | = Host-Principal erstellen = | ||
| + | |||
| + | *kadmin.local | ||
| + | *addprinc -randkey host/maria.wok.lan | ||
| + | Erstellt einen Host-Principal für den Server. | ||
| + | |||
| + | *ktadd -k /etc/krb5.keytab host/maria.wok.lan | ||
| + | Speichert den Host-Principal im Keytab /etc/krb5.keytab. | ||
| + | |||
| + | = Links = | ||
| + | |||
| + | [http://wiki.ubuntuusers.de/Kerberos Kerberos-Konfiguration auf Ubuntu] | ||
| + | [http://research.imb.uq.edu.au/~l.rathbone/ldap/kerberos.shtml Weitere Informationen zur Kerberos-Integration] | ||
| + | |||
| + | [[Kategorie:KERBEROS]] | ||
Aktuelle Version vom 10. Oktober 2024, 20:14 Uhr
Ziel
Einrichten eines Kerberos-Servers auf einer Linux-Maschine, um die Authentifizierung im Netzwerk zu ermöglichen.
Voraussetzungen
- Eine Linux-Maschine mit statischer IP-Adresse und ordnungsgemäß konfiguriertem Hostnamen.
- Die Systemzeit muss synchronisiert sein, was für Kerberos-Authentifizierungen wichtig ist.
Einstellungen
- DOMAIN: wok.lan
- HOSTNAME: maria
Systemeinstellungen
Hostname und Host-Konfiguration
Hostname setzen
- echo "maria.wok.lan" > /etc/hostname
Stellt den Hostnamen auf "maria.wok.lan" ein.
Host-Einträge konfigurieren
- echo -e "127.0.0.1\tlocalhost\n192.168.242.3\tmaria maria.wok.lan" >> /etc/hosts
Fügt die IP-Adresse und den Hostnamen in die "hosts"-Datei ein, damit das System lokale Anfragen korrekt auflösen kann.
DNS-Server konfigurieren
- echo -e "nameserver 192.168.244.151\nsearch wok.lan" > /etc/resolv.conf
Trägt den DNS-Server ein und setzt die Suchdomäne auf "wok.lan".
Systemzeit synchronisieren
Kerberos ist sehr zeitempfindlich. Die Uhrzeiten auf allen beteiligten Systemen müssen synchronisiert sein.
- apt-get update
- apt-get install chrony
- systemctl enable chrony
- systemctl start chrony
Installiert und aktiviert "chrony" zur Zeitsynchronisation.
Installation von Kerberos
- apt-get install krb5-kdc krb5-admin-server
Installiert den Kerberos-Schlüsselverteilungscenter (KDC) und den Administrationsserver.
Erstellen eines neuen Kerberos-Realms
- krb5_newrealm
Erstellt eine neue Kerberos-Datenbank. Notiere den Namen des Hauptschlüssels (z. B. "K/M@WOK.LAN").
Zerstören einer alten Kerberos-Datenbank (nur bei Bedarf)
Falls eine vorherige Konfiguration besteht und gelöscht werden muss:
- kdb5_util -r WOK.LAN -m destroy -f
Überprüfung der Ports
- netstat -4 -lntpu | egrep "kadmind|krb5kdc"
Überprüft, ob die Kerberos-Dienste auf den richtigen Ports (88, 749, 464) lauschen.
Kerberos-Administratorkonto erstellen
- kadmin.local
Öffnet die lokale Kerberos-Administrationskonsole.
- addprinc kerberosadm/admin
Erstellt ein neues Administratorkonto für die Verwaltung des Kerberos-Systems.
Benutzerkonto erstellen
- kadmin.local
- addprinc xinux
Erstellt ein neues Benutzerkonto mit dem Namen "xinux".
Berechtigungen festlegen
Bearbeite die Datei `/etc/krb5kdc/kadm5.acl` und füge Folgendes hinzu, um Administratorrechte zu vergeben:
- /admin *
Neustart des Kerberos-Administrationsservers
- service krb5-admin-server restart
Umgang mit Tickets
Um ein Ticket für den gerade erstellten Benutzer zu erhalten:
- kinit kerberosadm/admin
Gibt das Passwort ein und erhält ein Kerberos-Ticket.
- klist
Zeigt die aktiven Kerberos-Tickets an.
- kdestroy
Zerstört das aktuell aktive Kerberos-Ticket.
Host-Principal erstellen
- kadmin.local
- addprinc -randkey host/maria.wok.lan
Erstellt einen Host-Principal für den Server.
- ktadd -k /etc/krb5.keytab host/maria.wok.lan
Speichert den Host-Principal im Keytab /etc/krb5.keytab.
Links
Kerberos-Konfiguration auf Ubuntu Weitere Informationen zur Kerberos-Integration