Kerberos lokal auf Debian einrichten: Unterschied zwischen den Versionen

Aus Xinux Wiki
Zur Navigation springen Zur Suche springen
(Die Seite wurde neu angelegt: „=Kerberos lokal auf Debian einrichten= =Pakete installieren= * Aktualisiere die Paketliste: sudo apt update * Installiere die notwendigen Kerberos-Pakete: sud…“)
 
 
(20 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt)
Zeile 1: Zeile 1:
=Kerberos lokal auf Debian einrichten=
+
=Ziel=
 +
*Authentifizierung gegen den lokalen Kerberos Server
 +
*Authorisierung durch die lokalen Datei
  
 
=Pakete installieren=
 
=Pakete installieren=
* Aktualisiere die Paketliste:
+
==Aktualisiere die Paketliste==
sudo apt update
+
* sudo apt update
* Installiere die notwendigen Kerberos-Pakete:
+
==Installiere die notwendigen Kerberos-Pakete==
sudo apt install krb5-kdc krb5-admin-server krb5-user libkrb5-dev
+
* sudo apt install krb5-kdc krb5-admin-server krb5-user libkrb5-dev
  
 
=Kerberos konfigurieren=
 
=Kerberos konfigurieren=
* Öffne die Datei /etc/krb5.conf und passe sie an:
+
==Öffne die Datei /etc/krb5.conf und passe sie an==
sudo nano /etc/krb5.conf
+
* sudo nano /etc/krb5.conf
* Beispielinhalt für krb5.conf:
+
==Beispielinhalt für krb5.conf==
 +
<pre>
 
[libdefaults]
 
[libdefaults]
     default_realm = EXAMPLE.COM
+
     default_realm = SECURE.LAB
 
     dns_lookup_realm = false
 
     dns_lookup_realm = false
 
     dns_lookup_kdc = false
 
     dns_lookup_kdc = false
  
 
[realms]
 
[realms]
     EXAMPLE.COM = {
+
     SECURE.LAB = {
 
         kdc = localhost
 
         kdc = localhost
 
         admin_server = localhost
 
         admin_server = localhost
Zeile 23: Zeile 26:
  
 
[domain_realm]
 
[domain_realm]
     .example.com = EXAMPLE.COM
+
     .secure.lab = SECURE.LAB
     example.com = EXAMPLE.COM
+
     secure.lab = SECURE.LAB
* Ersetze EXAMPLE.COM mit deinem gewünschten Realm-Namen.
+
</pre>
* Initialisiere die Kerberos-Datenbank:
+
==Initialisiere die Kerberos-Datenbank==
sudo krb5_newrealm
+
* sudo krb5_newrealm
* Füge einen Administrator-Principal hinzu:
+
==Füge einen Administrator-Principal hinzu==
sudo kadmin.local
+
* sudo kadmin.local
* Im kadmin.local-Interface:
+
==Im kadmin.local-Interface==
addprinc adminuser
+
* addprinc admin
* Setze ein Passwort für den Administrator.
 
* Beende die kadmin.local-Sitzung:
 
quit
 
  
=Dienste starten=
+
==Setze ein Passwort für den Administrator==
* Starte die Kerberos-Dienste:
+
==Beende die kadmin.local-Sitzung==
sudo systemctl start krb5-kdc
+
* quit
sudo systemctl start krb5-admin-server
 
* Aktiviere die Dienste beim Booten:
 
sudo systemctl enable krb5-kdc
 
sudo systemctl enable krb5-admin-server
 
  
 
=PAM konfigurieren=
 
=PAM konfigurieren=
* Installiere das PAM-Paket für Kerberos:
+
==Installiere das PAM-Paket für Kerberos==
sudo apt install libpam-krb5
+
* sudo apt install libpam-krb5
* Füge Kerberos zur PAM-Konfiguration hinzu:
+
==Füge Kerberos zur PAM-Konfiguration hinzu==
sudo nano /etc/pam.d/common-auth
+
;Das geschieht automatisch
* Füge die folgende Zeile hinzu:
+
* sudo nano /etc/pam.d/common-auth
auth    required    pam_krb5.so
 
* Speichere die Datei und beende den Editor.
 
  
=Teste die Konfiguration=
+
==Füge die folgende Zeile hinzu==
* Führe kinit aus, um zu testen, ob die Authentifizierung funktioniert:
+
* auth    required    pam_krb5.so
kinit
+
==Wir brauchen für den admin noch einen lokalen Account==
 +
;Wir brauchen kein Passwort in der /etc/shadow
 +
*useradd -ms /bin/bash admin
 +
 
 +
=User anlegen=
 +
;Kerberos
 +
*sudo kadmin.local
 +
'''addprinc  rudi'''
 +
'''quit'''
 +
;Lokal
 +
*useradd -ms /bin/bash rudi
 +
 
 +
=User löschen=
 +
;Kerberos
 +
*sudo kadmin.local
 +
'''delprinc rudi'''
 +
*quit
 +
;Lokal
 +
*userdel rudi
 +
 
 +
=Listen Principals=
 +
*sudo kadmin.local
 +
'''listprincs'''
 +
K/M@SECURE.LAB
 +
admin@SECURE.LAB
 +
kadmin/admin@SECURE.LAB
 +
kadmin/changepw@SECURE.LAB
 +
kadmin/debian.secure.lab@SECURE.LAB
 +
kiprop/debian.secure.lab@SECURE.LAB
 +
krbtgt/SECURE.LAB@SECURE.LAB
 +
rudi@SECURE.LAB
 +
 
 +
[[Kategorie:KERBEROS]]

Aktuelle Version vom 17. Oktober 2024, 09:17 Uhr

Ziel

  • Authentifizierung gegen den lokalen Kerberos Server
  • Authorisierung durch die lokalen Datei

Pakete installieren

Aktualisiere die Paketliste

  • sudo apt update

Installiere die notwendigen Kerberos-Pakete

  • sudo apt install krb5-kdc krb5-admin-server krb5-user libkrb5-dev

Kerberos konfigurieren

Öffne die Datei /etc/krb5.conf und passe sie an

  • sudo nano /etc/krb5.conf

Beispielinhalt für krb5.conf

[libdefaults]
    default_realm = SECURE.LAB
    dns_lookup_realm = false
    dns_lookup_kdc = false

[realms]
    SECURE.LAB = {
        kdc = localhost
        admin_server = localhost
    }

[domain_realm]
    .secure.lab = SECURE.LAB
    secure.lab = SECURE.LAB

Initialisiere die Kerberos-Datenbank

  • sudo krb5_newrealm

Füge einen Administrator-Principal hinzu

  • sudo kadmin.local

Im kadmin.local-Interface

  • addprinc admin

Setze ein Passwort für den Administrator

Beende die kadmin.local-Sitzung

  • quit

PAM konfigurieren

Installiere das PAM-Paket für Kerberos

  • sudo apt install libpam-krb5

Füge Kerberos zur PAM-Konfiguration hinzu

Das geschieht automatisch
  • sudo nano /etc/pam.d/common-auth

Füge die folgende Zeile hinzu

  • auth required pam_krb5.so

Wir brauchen für den admin noch einen lokalen Account

Wir brauchen kein Passwort in der /etc/shadow
  • useradd -ms /bin/bash admin

User anlegen

Kerberos
  • sudo kadmin.local
addprinc  rudi
quit
Lokal
  • useradd -ms /bin/bash rudi

User löschen

Kerberos
  • sudo kadmin.local
delprinc rudi
  • quit
Lokal
  • userdel rudi

Listen Principals

  • sudo kadmin.local
listprincs
K/M@SECURE.LAB
admin@SECURE.LAB
kadmin/admin@SECURE.LAB
kadmin/changepw@SECURE.LAB
kadmin/debian.secure.lab@SECURE.LAB
kiprop/debian.secure.lab@SECURE.LAB
krbtgt/SECURE.LAB@SECURE.LAB
rudi@SECURE.LAB
Abgerufen von „http://wiki.ixheim.de/index.php?title=Kerberos_lokal_auf_Debian_einrichten&oldid=57782