Ziel

• Authentifizierung gegen den lokalen Kerberos Server
• Authorisierung durch die lokalen Datei

Pakete installieren

Aktualisiere die Paketliste

• sudo apt update

Installiere die notwendigen Kerberos-Pakete

• sudo apt install krb5-kdc krb5-admin-server krb5-user libkrb5-dev

Kerberos konfigurieren

Öffne die Datei /etc/krb5.conf und passe sie an

• sudo nano /etc/krb5.conf

Beispielinhalt für krb5.conf

[libdefaults]
    default_realm = SECURE.LAB
    dns_lookup_realm = false
    dns_lookup_kdc = false

[realms]
    SECURE.LAB = {
        kdc = localhost
        admin_server = localhost
    }

[domain_realm]
    .secure.lab = SECURE.LAB
    secure.lab = SECURE.LAB

Initialisiere die Kerberos-Datenbank

• sudo krb5_newrealm

Füge einen Administrator-Principal hinzu

• sudo kadmin.local

Im kadmin.local-Interface

• addprinc admin

Setze ein Passwort für den Administrator

Beende die kadmin.local-Sitzung

• quit

PAM konfigurieren

Installiere das PAM-Paket für Kerberos

• sudo apt install libpam-krb5

Füge Kerberos zur PAM-Konfiguration hinzu

Das geschieht automatisch

• sudo nano /etc/pam.d/common-auth

Füge die folgende Zeile hinzu

• auth required pam_krb5.so

Wir brauchen für den admin noch einen lokalen Account

Wir brauchen kein Passwort in der /etc/shadow

• useradd -ms /bin/bash admin

User anlegen

Kerberos

• sudo kadmin.local

addprinc  rudi
quit

Lokal

• useradd -ms /bin/bash rudi

User löschen

Kerberos

• sudo kadmin.local

delprinc rudi

• quit

Lokal

• userdel rudi

Listen Principals

• sudo kadmin.local

listprincs
K/M@SECURE.LAB
admin@SECURE.LAB
kadmin/admin@SECURE.LAB
kadmin/changepw@SECURE.LAB
kadmin/debian.secure.lab@SECURE.LAB
kiprop/debian.secure.lab@SECURE.LAB
krbtgt/SECURE.LAB@SECURE.LAB
rudi@SECURE.LAB