регистрация_ключей_принципалов_в_kdc

This is an old revision of the document!


Регистрация ключей принципалов в KDC

Регистрация принципалов пользователей в базе данных kerberos

HEIMDAL (FreeBSD)

server# kadmin -l
kadmin> add user1
...
user1@CORPX.UN's Password: kpassword1
Verifying - user@CORPX.UN's Password: kpassword1
...
kadmin> add user2
...

kadmin> list *

kadmin> quit

MIT (Linux)

root@server:~# kadmin.local

kadmin.local:  addprinc user1
...
Enter password for principal "user1@CORPX.UN": kpassword1
Re-enter password for principal "user1@CORPX.UN": kpassword1
...
kadmin.local:  addprinc user2
...
kadmin.local:  listprincs
...
user1@CORPX.UN
...
kadmin.local: quit

Проверки

server# kinit user1
server# klist
server# kdestroy

gate# kinit user1
gate# klist
gate# kdestroy

client1# kinit user1
client1# klist
client1# kdestroy

Использование протокола GSSAPI на примере sshd

GSSAPI Generic Security Services Application Program Interface

Регистрация принципалов сервиса в KDC и перемещение ключа сервиса на сервер

HEIMDAL (FreeBSD)

server# kadmin -l
kadmin> add -r host/gate.corpX.un
...
kadmin> list *

kadmin> ext -k gatehost.keytab host/gate.corpX.un
kadmin> quit

server# scp gatehost.keytab gate:

MIT (Linux)

root@server:~# kadmin.local
kadmin.local:  addprinc -randkey host/gate.corpX.un
...
kadmin.local:  listprincs

kadmin.local:  ktadd -k gatehost.keytab host/gate.corpX.un
...
kadmin.local:  quit

server# scp gatehost.keytab gate:

Microsoft Active Directory

Добавляем пользователя в AD

Login: gatehost
Password: Pa$$w0rd

Пароль не меняется и не устаревает

Устанавливаем Microsoft Windows Support Tools

C:\>ktpass -princ host/gate.corpX.un@CORPX.UN -mapuser gatehost -pass 'Pa$$w0rd' -out gatehost.keytab

C:\>pscp gatehost.keytab gate:

Добавление ключа в системный keytab

HEIMDAL (FreeBSD)

gate# ktutil copy /root/gatehost.keytab /etc/krb5.keytab
gate# touch /etc/srvtab

gate# ktutil list
...

MIT (Linux)

root@gate:~# ktutil
ktutil: rkt /root/gatehost.keytab
ktutil: list
ktutil: wkt /etc/krb5.keytab
ktutil: quit

root@gate:~# klist -ek /etc/krb5.keytab

Удаление ключа из системного keytab

HEIMDAL (FreeBSD)

gate# ktutil remove -p 'HTTP/gate.CORPX.UN@CORPX.UN'

MIT (Linux)



Настройка сервиса sshd на использование GSSAPI

gate# cat /etc/ssh/sshd_config
...
GSSAPIAuthentication yes
...

Настройка unix клиента ssh на использование GSSAPI

client1# cat /etc/ssh/ssh_config
...
GSSAPIAuthentication yes
...

Настройка windows клиента (putty) на использование GSSAPI

Hostname: user1@gate.corpX.un
SSH->Auth-Attempt GSSAPI...

Использование pam kerberos для сервиса login

Настройка pam

FreeBSD

[client1:~] # cat /etc/pam.d/system
...
# auth
...
auth            sufficient      pam_krb5.so             no_warn try_first_pass
#auth           sufficient      pam_ssh.so              no_warn try_first_pass
auth            required        pam_unix.so             no_warn try_first_pass nullok
...

Ubuntu/Debian

root@client1:~# apt-get install libpam-krb5

все настроится автоматически

root@client1:~# cd /etc/pam.d/
root@client1:/etc/pam.d/# grep krb5 *
...

Отладка

user1@client1$ ssh -vv gate.corpX.un

gate# /usr/sbin/sshd -d

Регистрация рабочих станций windows в KDC

!!! Необходимо все системы корректно прописать в прямой и реверс зоне DNS !!! ???

HEIMDAL (FreeBSD)

server# kadmin -l
kadmin> add host/client2.corpX.un
...
Pa$$w0rd
...
kadmin> list *

kadmin> 

MIT (Linux)

root@server:~# kadmin.local
kadmin.local:  addprinc -e rc4-hmac:normal host/client2.corpX.un
...
Enter password for principal "host/client2.corpX.un@CORPX.UN": Pa$$w0rd
...
kadmin.local:  listprincs

kadmin.local:  
регистрация_ключей_принципалов_в_kdc.1315917075.txt.gz · Last modified: 2013/05/22 13:50 (external edit)