Всем привет!

Вот такой вопрос прозвучал в комментариях к этой статье, спасибо автору, а еще нам на предприятие пришло вот такое распоряжение:

IMG_1.png

Если бы у нас на предприятии уже использовалась инфраструктура Microsoft AD, мы бы подумали о миграции на Samba 4, но задача касалась только вводимых в эксплуатацию рабочих станций Linux и мы выбрали “ванильный” MIT Kerberos.

В двух словах про Kerberos, это протокол аутентификации позволяющий, использовать свой логин и пароль на любом компьютере, подключенном к Kerberos сфере (например, таким способом). А коме того, он реализует Технологию единого входа (Single Sign-On), что позволяет, например, предоставить “прозрачный” авторизованный доступ в Интернет через прокси сервер.

Итак, реализация:

Разворачиваем в сети kerberos сервер (Центр распределения ключей - Key distribution center). Очень важно правильно указать hostname системы и сделать соответствующие A и SRV записи в DNS

# hostnamectl set-hostname kdc.bmstu.ru

# nslookup -q=SRV _kerberos._udp.bmstu.ru
...
_kerberos._udp.bmstu.ru service = 1 0 88 kdc.bmstu.ru.
...
kdc.bmstu.ru    internet address = A.B.C.D

Устанавливаем программное обеспечение и инициализируем Kerberos сферу (realm, еще часто используют термин домен, в этом контексте, пришедший из Microsoft)

# apt install krb5-kdc krb5-admin-server
   
# krb5_newrealm
...

# service krb5-kdc restart

kadmin.local -q 'change_password -pw 123 ivanovii'


   37  kadmin.local -q 'addprinc -randkey HTTP/authproxy.bmstu.ru'

   39  kadmin.local -q 'ktadd -k authproxyhttp.keytab HTTP/authproxy.bmstu.ru'
   
   scp authproxyhttp.keytab val@authproxy: