This is an old revision of the document!
Всем привет!
Вот такой вопрос прозвучал в комментариях к этой статье, спасибо автору, а еще нам на предприятие пришло вот такое распоряжение:
IMG_1.png
Если бы у нас на предприятии уже использовалась инфраструктура Microsoft AD, мы бы подумали о миграции на Samba 4, но задача касалась только вводимых в эксплуатацию рабочих станций Linux и мы выбрали “ванильный” MIT Kerberos.
В двух словах про Kerberos, это протокол аутентификации позволяющий, использовать свой логин и пароль на любом компьютере, подключенном к Kerberos сфере (например, таким способом). А коме того, он реализует Технологию единого входа (Single Sign-On), что позволяет, например, предоставить “прозрачный” авторизованный доступ в Интернет через прокси сервер.
Итак, реализация:
Разворачиваем в сети kerberos сервер (Центр распределения ключей - Key distribution center). Очень важно правильно указать hostname системы и сделать соответствующие A и SRV записи в DNS
# hostnamectl set-hostname kdc.bmstu.ru # nslookup -q=SRV _kerberos._udp.bmstu.ru ... _kerberos._udp.bmstu.ru service = 1 0 88 kdc.bmstu.ru. ... kdc.bmstu.ru internet address = A.B.C.D
Устанавливаем программное обеспечение и инициализируем Kerberos сферу (realm, еще часто используют термин домен, в этом контексте, пришедший из Microsoft)
# apt install krb5-kdc krb5-admin-server # krb5_newrealm ... # service krb5-kdc restart
kadmin.local -q 'change_password -pw 123 ivanovii' 37 kadmin.local -q 'addprinc -randkey HTTP/authproxy.bmstu.ru' 39 kadmin.local -q 'ktadd -k authproxyhttp.keytab HTTP/authproxy.bmstu.ru' scp authproxyhttp.keytab val@authproxy: