Kerberos lokal auf Debian einrichten: Unterschied zwischen den Versionen
Zur Navigation springen
Zur Suche springen
| (19 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt) | |||
| Zeile 1: | Zeile 1: | ||
| − | =Kerberos | + | =Ziel= |
| + | *Authentifizierung gegen den lokalen Kerberos Server | ||
| + | *Authorisierung durch die lokalen Datei | ||
=Pakete installieren= | =Pakete installieren= | ||
| − | Aktualisiere die Paketliste | + | ==Aktualisiere die Paketliste== |
* sudo apt update | * sudo apt update | ||
| − | Installiere die notwendigen Kerberos-Pakete | + | ==Installiere die notwendigen Kerberos-Pakete== |
* sudo apt install krb5-kdc krb5-admin-server krb5-user libkrb5-dev | * sudo apt install krb5-kdc krb5-admin-server krb5-user libkrb5-dev | ||
=Kerberos konfigurieren= | =Kerberos konfigurieren= | ||
| − | Öffne die Datei /etc/krb5.conf und passe sie an | + | ==Öffne die Datei /etc/krb5.conf und passe sie an== |
* sudo nano /etc/krb5.conf | * sudo nano /etc/krb5.conf | ||
| − | Beispielinhalt für krb5.conf | + | ==Beispielinhalt für krb5.conf== |
<pre> | <pre> | ||
[libdefaults] | [libdefaults] | ||
| − | default_realm = | + | default_realm = SECURE.LAB |
dns_lookup_realm = false | dns_lookup_realm = false | ||
dns_lookup_kdc = false | dns_lookup_kdc = false | ||
[realms] | [realms] | ||
| − | + | SECURE.LAB = { | |
kdc = localhost | kdc = localhost | ||
admin_server = localhost | admin_server = localhost | ||
| Zeile 24: | Zeile 26: | ||
[domain_realm] | [domain_realm] | ||
| − | . | + | .secure.lab = SECURE.LAB |
| − | + | secure.lab = SECURE.LAB | |
</pre> | </pre> | ||
| − | + | ==Initialisiere die Kerberos-Datenbank== | |
| − | Initialisiere die Kerberos-Datenbank | ||
* sudo krb5_newrealm | * sudo krb5_newrealm | ||
| − | Füge einen Administrator-Principal hinzu | + | ==Füge einen Administrator-Principal hinzu== |
* sudo kadmin.local | * sudo kadmin.local | ||
| − | Im kadmin.local-Interface | + | ==Im kadmin.local-Interface== |
| − | * addprinc | + | * addprinc admin |
| − | Setze ein Passwort für den Administrator | + | |
| − | Beende die kadmin.local-Sitzung | + | ==Setze ein Passwort für den Administrator== |
| + | ==Beende die kadmin.local-Sitzung== | ||
* quit | * quit | ||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
=PAM konfigurieren= | =PAM konfigurieren= | ||
| − | Installiere das PAM-Paket für Kerberos | + | ==Installiere das PAM-Paket für Kerberos== |
* sudo apt install libpam-krb5 | * sudo apt install libpam-krb5 | ||
| − | Füge Kerberos zur PAM-Konfiguration hinzu; | + | ==Füge Kerberos zur PAM-Konfiguration hinzu== |
| + | ;Das geschieht automatisch | ||
* sudo nano /etc/pam.d/common-auth | * sudo nano /etc/pam.d/common-auth | ||
| − | Füge die folgende Zeile hinzu | + | |
| + | ==Füge die folgende Zeile hinzu== | ||
* auth required pam_krb5.so | * auth required pam_krb5.so | ||
| − | + | ==Wir brauchen für den admin noch einen lokalen Account== | |
| + | ;Wir brauchen kein Passwort in der /etc/shadow | ||
| + | *useradd -ms /bin/bash admin | ||
| + | |||
| + | =User anlegen= | ||
| + | ;Kerberos | ||
| + | *sudo kadmin.local | ||
| + | '''addprinc rudi''' | ||
| + | '''quit''' | ||
| + | ;Lokal | ||
| + | *useradd -ms /bin/bash rudi | ||
| + | |||
| + | =User löschen= | ||
| + | ;Kerberos | ||
| + | *sudo kadmin.local | ||
| + | '''delprinc rudi''' | ||
| + | *quit | ||
| + | ;Lokal | ||
| + | *userdel rudi | ||
| + | |||
| + | =Listen Principals= | ||
| + | *sudo kadmin.local | ||
| + | '''listprincs''' | ||
| + | K/M@SECURE.LAB | ||
| + | admin@SECURE.LAB | ||
| + | kadmin/admin@SECURE.LAB | ||
| + | kadmin/changepw@SECURE.LAB | ||
| + | kadmin/debian.secure.lab@SECURE.LAB | ||
| + | kiprop/debian.secure.lab@SECURE.LAB | ||
| + | krbtgt/SECURE.LAB@SECURE.LAB | ||
| + | rudi@SECURE.LAB | ||
| − | + | [[Kategorie:KERBEROS]] | |
| − | |||
| − | |||
Aktuelle Version vom 17. Oktober 2024, 09:17 Uhr
Ziel
- Authentifizierung gegen den lokalen Kerberos Server
- Authorisierung durch die lokalen Datei
Pakete installieren
Aktualisiere die Paketliste
- sudo apt update
Installiere die notwendigen Kerberos-Pakete
- sudo apt install krb5-kdc krb5-admin-server krb5-user libkrb5-dev
Kerberos konfigurieren
Öffne die Datei /etc/krb5.conf und passe sie an
- sudo nano /etc/krb5.conf
Beispielinhalt für krb5.conf
[libdefaults]
default_realm = SECURE.LAB
dns_lookup_realm = false
dns_lookup_kdc = false
[realms]
SECURE.LAB = {
kdc = localhost
admin_server = localhost
}
[domain_realm]
.secure.lab = SECURE.LAB
secure.lab = SECURE.LAB
Initialisiere die Kerberos-Datenbank
- sudo krb5_newrealm
Füge einen Administrator-Principal hinzu
- sudo kadmin.local
Im kadmin.local-Interface
- addprinc admin
Setze ein Passwort für den Administrator
Beende die kadmin.local-Sitzung
- quit
PAM konfigurieren
Installiere das PAM-Paket für Kerberos
- sudo apt install libpam-krb5
Füge Kerberos zur PAM-Konfiguration hinzu
- Das geschieht automatisch
- sudo nano /etc/pam.d/common-auth
Füge die folgende Zeile hinzu
- auth required pam_krb5.so
Wir brauchen für den admin noch einen lokalen Account
- Wir brauchen kein Passwort in der /etc/shadow
- useradd -ms /bin/bash admin
User anlegen
- Kerberos
- sudo kadmin.local
addprinc rudi quit
- Lokal
- useradd -ms /bin/bash rudi
User löschen
- Kerberos
- sudo kadmin.local
delprinc rudi
- quit
- Lokal
- userdel rudi
Listen Principals
- sudo kadmin.local
listprincs K/M@SECURE.LAB admin@SECURE.LAB kadmin/admin@SECURE.LAB kadmin/changepw@SECURE.LAB kadmin/debian.secure.lab@SECURE.LAB kiprop/debian.secure.lab@SECURE.LAB krbtgt/SECURE.LAB@SECURE.LAB rudi@SECURE.LAB