Другие две стороны - это пользователь и сервис, на котором он хочет авторизоваться. Не все сервисы и приложения могут использовать Kerberos, но те, которые могут, приближают сетевое окружение на один шаг к технологии единого входа (Single Sign On - SSO). Большинство терминов связаны с вещами, которые могут быть вам знакомы по другим окружениям. Учетная запись (Principal): любые пользователи, компьютеры или сервисы, предоставляемые серверами, должны быть определены как учетные записи Kerberos . Представляйте ее себе как домен или группу ваших компьютеров и пользователей, ей принадлежащих. По умолчанию Ubuntu использует имя DNS домена в верхнем регистре (EXAMPLE. COM) в качестве имени области. Для каждой области должен быть хотя бы один KDC. Одна учетная запись - пользователь, а другая - сервис, запрашиваемый этим пользователем. Не углубляясь в Kerberos, keytab-файл это "связка ключей", файл. БОлше понимания о шифровании в Kerberos дает команда klist с . Вперед:Сброс поврежденного кэша иконок в Windows 10. Билеты устанавливают секретный ключ, используемый для защищенного соединения во время авторизованной сессии. Когда пользователь под учетной записью заходит на рабочую станцию, которая настроена на Kerberos аутентификацию, KDC выпускает билет для получения билетов (TGT). Если пользователь предоставляет совпадающие параметры, он считается аутентифицированным и может запрашивать билеты для сервисов, поддерживающих Kerberos, на сервере распространения билетов (TGS). Сервисные билеты позволяют пользователю аутентифицироваться на сервисах без ввода имени и пароля. Поскольку область Kerberos по соглашению совпадает с именем домена, этот раздел использует домен EXAMPLE. COM, настроенный как Primary Master по документации DNS. Поэтому если локальное время системы на клиентской машине и на сервере отличается более чем на 5 минут (по умолчанию), рабочая станция не будет аутентифицирована. Для решения проблемы все узлы сети должны синхронизировать свое время по одному серверу NTP. Детали настройки NTP смотрите в разделе Синхронизация времени по NTP. Введите в терминале. В конце установки у вас запросят сетевые имена серверов Kerberos и административного, которые могут быть одним и тем же или разными серверами для определенной области. Если вам требуется скорректировать настройки KDC, просто измените файл и перезапустите сервис krb. Если вам требуется перенастроить Kerberos сначала, возможно для изменения имени области, вы можете это сделать набрав следующее. Как только KDC запущен правильно, требуется административный пользователь (учетная запись администратора). Рекомендуется использовать имя пользователя, отличное от вашего повседневного пользователя. Для использования утилиты kadmin. Authenticating as principal root/admin@EXAMPLE. Перезапуск процессов smbd и nmbd со сбросом текущих соединений. Active Directory базируется на протоколе авторизации Kerberos, при. После ввода пароля используйте утилиту klist, чтобы увидеть информацию о билете для получения билетов (TGT). Вернёмся на Secondary KDC, создадим stash (stash) файл для хранения Kerberos master key (главного ключа Kerberos). Описание: Служба "Центр распространения ключей Kerberos" . Сброс пароля учетной записи компьютера и получение нового билета . Номер версии главного ключа базы данных. Используется для совместимости с другими реализациями. Сброс всех атрибутов субъекта Kerberos, перечисленных вТабл. Создайте паспорт на выдачу паспорта командой klist.COM with password. Права настраиваются в файле /etc/krb. EXAMPLE. COM *. Эта запись предоставляет для steve/admin возможность выполнять любые операции над любыми учетными записями в этой области. Вы можете настроить учетные записи более ограниченными правами, которые удобны если вам требуется учетная запись младшего администратора, которую можно использовать на клиентах Kerberos. Пожалуйста, посмотрите страницу руководства (man) по kadm. Линукс клиент Kerberos . Центр распространения ключей (KDC): состоит из трех частей: базы. Определяет, будет ли Самба пытаться хранить в системном keytab файле для host/FQDN и cifs/FQDN связки ключей principals. Klist - записи дисплея Kerberos в кэше учетных данных и keytab. Записи списка в keytable, определенном включая keytab метки времени записи и ключи DES. У вас может возникнуть необходимость добавить запись в /etc/hosts для KDC чтобы клиент мог его найти. Например. 1. 92. 1. Замените 1. 92. 1. IP адрес вашего KDC. Обычно такое требуется, когда ваша Kerberos область охватывает различные сети, разделенные роутерами. Добавьте следующие записи в /etc/named/db. Также, если у вас Kerberos клиенты расположены в различных сетях (возможно разделенные роутерами, использующими NAT), разумно будет поместить вторичные KDC в каждую такую сеть. Из терминала набираем. В нашем примере на первичном и вторичном KDC создайте /etc/krb. EXAMPLE. COM. host/kdc. EXAMPLE. COM. Создаем пустую базу данных на вторичном KDC. Если вернулось сообщение об ошибке, проверьте /var/log/syslog на вторичном KDC для дополнительной информации. Например, следующий код будет выгружать базу данных каждый час (обратите внимание, что длинная строка разделена чтобы соответствовать формату документа). Вы можете это проверить, остановив сервис krb. KDC и затем запросив билет с помощью kinit. Если все пойдет хорошо, вы получите билет со вторичного KDC. В противном случае проверяйте /var/log/syslog и /var/log/auth. KDC. Это позволит получить доступ к любому керберезированному сервису как только пользователь удачно авторизуется в системе. Для установки пакетов наберите следующую команду в терминале. Пакет auth- client- config позволяет просто настроить PAM для аутентификации множества сервисов, а libpam- ccreds будет кэшировать параметры аутентификации, позволяя вам подключаться когда центр распространения ключей (KDC) недоступен. Этот пакет также полезен для переносных компьютеров, которые могут авторизовываться с использованием Kerberos в корпоративной сети, но также должны быть доступны и вне сети. Также, если у вас нет DNS сервера с настроенными записями Kerberos SRV, меню запросит у вас сетевое имя центра распространения ключей (KDC) и административного сервера области. У вас будут записи, похожие на следующие. EXAMPLE. COM. Password for steve@EXAMPLE. COM. Когда билет будет предоставлен, детали можно увидеть с помощью klist. Ticket cache: FILE: /tmp/krb.
0 Comments
Leave a Reply. |
Details
AuthorWrite something about yourself. No need to be fancy, just an overview. ArchivesCategories |