WebMoney: WMZ Z294115950220 WMR R409981405661 WME E134003968233 |
Visa 4274 3200 2453 6495 |
MIT krb5
является свободной реализацией Kerberos 5. Kerberos это протокол сетевой
аутентификации. Он централизует базу данных аутентификации и использует
керберизованные приложения для работы с серверами или сервисами,
поддерживающими Kerberos, и позволяющими одиночные регистрации и
и шифрованные соединения через внутренние сети или интернет.
Адрес (HTTP):
http://web.mit.edu/kerberos/www/dist/krb5/1.4/krb5-1.4-signed.tar
Контрольная сумма: 2fa56607677544e3a27b42f7cfa1155b
Размер: 6.6 MB
Требуемое дисковое пространство: 55 MB
Расчетное время сборки: 2.55 SBU
xinetd-2.3.13 (только
серверные сервисы), Linux-PAM-0.78 (для
xdm-основанных регистраций)
и OpenLDAP-2.2.20
(альтернатива базе данных паролей
krb5kdc). Некоторые виды средств синхронизации времени необходимы в Вашей
системе (например, NTP-4.2.0),
поскольку Kerberos не будет аутентифицировать при временных
различиях между керберизованным клиентом и
KDC-сервером. MIT
krb5 поставляется в TAR-файле,
содержащем сжатый пакет и присоединенный
PGP ASC файл. Если у Вас установлен GnuPG-1.4.0,
Вы можете аутентифицировать пакет следующей командой: Соберем MIT
krb5 запуском следующих команд: Установим MIT
krb5, выполнив следующие команы как пользователь root: --enable-dns: Этот ключ позволяет
областям быть разрешенными, используя
DNS-сервер. --enable-static: Этот ключ соберет
статические библиотеки в дополнение к разделяемым библиотекам. Сохраним команду login из
пакета Shadow, переместим
ksu и
login в /bin. Программы login и
ksu скомпонованы с
этими библиотеками, хотя мы переместили эти библиотеки в
/lib для возможности регистрации без монтирования
/usr. /etc/krb5.conf и
/var/lib/krb5kdc/kdc.conf. Создадим файл конфигурации Kerberos следующей командой: Вам потребуется установить Ваш домен и собственное имя хоста
вместо имен [belgarath] и
[lfs.org]. default_realm
должен быть именем Вашего домена, измененным на ALL CAPS. Оно не обязательно,
но Heimdal и
MIT рекомендуют его. encrypt = true предосталяет
шифрование всего трафика между керберизованными клиентами и серверами.
Это не обязательно и может быть удалено. Если Вы это
сделаете, то сможете сможете шифровать трафик от клиента к серверу,
используя вместо этого клиентскую программу. Параметр [realms]
говорит клиентским программам, где искать сервисы аутентификации
KDC. Секция [domain_realm]
отображает домен на область. Создадим базу данных KDC: Теперь Вы должны наполнить базу данных законами (пользователями).
С этих пор просто используйте Ваше имя обычного пользователя или root. Сервер KDC и любая машина, запустившая
керберизованный демон сервера, должны иметь установленный ключ хоста: После выбора параметров по умолчанию во время запроса,
Вы должны экспортировать данные в файл keytab: При этом должен быть создан файл в /etc с именем
krb5.keytab (Kerberos 5) и правами доступа
600 (запись/чтение только для root). Содержание файла keytab без общего
доступа является критичным для полной безопасности установки Kerberos. Наконец, Вы захотите добавить законы серверного демона к базе данных
и извлечь их в файл keytab. Сделайте это тем же способом, каким Вы
создали законы хоста. Ниже приведен пример: Выйдете из программы kadmin
(используя quit
или exit) и вернитесь
обратно к приглашению оболочки. Запустите демон KDC
вручную просто для проверки установки: Попробуйте получить билет при помощи следующей команды: У Вас будет запрошен пароль, который Вы создали. После того, как Вы
получите билет, сможете просмотреть его при помощи следующей команды: Информация о билете должна быть отображена на экране. Для проверки функциональности файла keytab выполните следующую команду: Это должно вывести список законов хоста вместе с методами шифрования,
используемыми для доступа к законам. В этом месте, если все прошло удачно, Вы можете почувствовать
достаточную уверенность в установке и настройке пакета. Установите стартовый скрипт /etc/rc.d/init.d/kerberos
, включенный в пакет
blfs-bootscripts-6.0. Для использования керберизованных клиентских программ
(telnet,
ftp,
rsh,
rcp,
rlogin),
Вы сначала должны получить билет аутентификации. Используйте программу
kinit для получения билета.
После получения билета Вы можете использовать керберизованные программы
для соединения с любым керберизованным сервером в сети. У Вас не будет
запрашиваться аутентификация во время действия билета
(по умолчанию один день), если Вы не описываете другого пользователя
в качестве аргумента командной строки к программе. Керберизованные программы, которые будут подключаться к некерберизованным
демонам, предупредят Вас о том, что аутентификация не шифруется. Использование керберизованных серверных программ
(telnetd,
kpropd,
klogind и
kshd)
требует двух дополнительных шагов конфигурации.
Первый: файл /etc/services должен быть обновлен для
включения eklogin и krb5_prop. Второй: файл inetd.conf
или xinetd.conf должен быть изменен для
каждого сервера, который будет активирован, обычно заменяя сервер из
Inetutils-1.4.2. Для дополнительной информации проконсультируйтесь в
Документации по krb-1.4,
на которой основаны вышеописанные инструкции. Преобразует листинг таблицы имен кодов ошибок в исходный
C-файл. Керберизованный FTP-клиент. Керберизованный FTP-сервер. Утилита манипуляции таблицей ключей хоста. Утилита, используемая для внесения изменений в базу данных Kerberos.
Сервер для административного доступа в базу данных Kerberos. Утилита базы данных KDC. Удаляет текущую установку билетов. Используется для регистрации на сервере Kerberos законов и получения
билета, разрешая билеты, которые позднее могут быть использованы
для получения билетов для других сервисов. Читает и отображает текущие билеты в кэше. Сервер, отвечающий на запросы rlogin
. Программа для изменения паролей Kerberos 5. Берет базу данных законов в специфическом формате и преобразует ее
в поток записей базы данных. Получает посылку базы данных kprop
и записывает ее как локальную базу данных. Дает информацию о том, как скомпонованы программы с библиотеками.
Сервер протокола Kerberos 5. Сервер, отвечающий на запросы rsh
. Программа su, использующая протокол Kerberos.
Требует правильно настроенный файл /etc/shells и
~/.k5login, содержащий авторизованные законы,
чтобы стать суперпользователем. Программа для управления таблицами ключей Kerberos. Печатает номера версий ключей законов Kerberos. Керберизованная программа регистрации. Керберизованная клиентская программа rcp. Керберизованная клиентская программа rlogin. Керберизованная клиентская программа rsh. Керберизованная клиентская программа telnet. Керберизованный сервер telnet. Включает Kerberos-библиотеку кодов ошибок. Содержит Generic Security Service Application Programming Interface
(GSSAPI) функции, предоставляющие сервисы
безопасности в общем стиле, поддерживаемом при помощи диапазона механизмов и
технологий и с этого времени позволяющем переносимость приложений на
уровне исходников в другие окружения. Содержит функции административной аутентификации и проверки пароля,
требуемые для клиентских программ Kerberos 5. Содержит функции административной аутентификации и проверки пароля,
требуемые для серверов Kerberos 5. Библиотека доступа к базе данных аутентификации/авторизации Kerberos 5.
Библиотека общего назначения Kerberos 5. Последнее обновление 2005-02-10 13:19:10 -0700.
Beyond Linux From Scratch. Версия 6.0
Глава 4. Безопасность
MIT krb5-1.4
Введение в MIT krb5
Информация о пакете
Зависимости
MIT krb5
Опционально
Замечание
Установка MIT krb5
gpg --verify krb5-1.4.tar.gz.asc
cd src &&
./configure --prefix=/usr --sysconfdir=/etc \
--localstatedir=/var/lib --enable-dns \
--enable-static --mandir=/usr/share/man &&
make
make install &&
mv /bin/login /bin/login.shadow &&
cp /usr/sbin/login.krb5 /bin/login &&
mv /usr/bin/ksu /bin &&
mv /usr/lib/libkrb5.so.3* /lib &&
mv /usr/lib/libkrb4.so.2* /lib &&
mv /usr/lib/libdes425.so.3* /lib &&
mv /usr/lib/libk5crypto.so.3* /lib &&
mv /usr/lib/libcom_err.so.3* /lib &&
ln -sf ../../lib/libkrb5.so.3 /usr/lib/libkrb5.so &&
ln -sf ../../lib/libkrb4.so.2 /usr/lib/libkrb4.so &&
ln -sf ../../lib/libdes425.so.3 /usr/lib/libdes425.so &&
ln -sf ../../lib/libk5crypto.so.3 /usr/lib/libk5crypto.so &&
ln -sf ../../lib/libcom_err.so.3 /usr/lib/libcom_err.so &&
ldconfig
Описание команд
mv /bin/login /bin/login.shadow
cp /usr/sbin/login.krb5 /bin/login
mv /usr/bin/ksu /bin
mv /usr/lib/libkrb5.so.3* /lib
mv /usr/lib/libkrb4.so.2* /lib
mv /usr/lib/libdes425.so.3* /lib
mv /usr/lib/libk5crypto.so.3* /lib
mv /usr/lib/libcom_err.so.3* /lib
ln -sf ../../lib/libkrb5.so.3 /usr/lib/libkrb5.so
ln -sf ../../lib/libkrb4.so.2 /usr/lib/libkrb4.so
ln -sf ../../lib/libdes425.so.3 /usr/lib/libdes425.so
ln -sf ../../lib/libk5crypto.so.3 /usr/lib/libk5crypto.so
ln -sf ../../lib/libcom_err.so.3 /usr/lib/libcom_err.so
Конфигурация MIT krb5
Файлы конфигурации
Конфигурационная информация
Настройка Kerberos
cat > /etc/krb5.conf << "EOF"
# Begin /etc/krb5.conf
[libdefaults]
default_realm = [LFS.ORG]
encrypt = true
[realms]
[LFS.ORG] = {
kdc = [belgarath.lfs.org]
admin_server = [belgarath.lfs.org]
}
[domain_realm]
.[lfs.org] = [LFS.ORG]
[logging]
kdc = SYSLOG[:INFO[:AUTH]]
admin_server = SYSLOG[INFO[:AUTH]]
default = SYSLOG[[:SYS]]
# End /etc/krb5.conf
EOF
kdb5_util create -r [LFS.ORG] -s
kadmin.local
kadmin:addprinc [loginname]
kadmin:
addprinc -randkey host/[belgarath.lfs.org]
kadmin:ktadd host/[belgarath.lfs.org]
kadmin:addprinc -randkey ftp/[belgarath.lfs.org]
kadmin:ktadd ftp/[belgarath.lfs.org]
/usr/sbin/krb5kdc &
kinit [loginname]
klist
ktutil
ktutil:rkt /etc/krb5.keytab
ktutil:l
make install-kerberos
Использование керберизованных клиентских программ
Использование керберизованных серверных программ
Дополнительная информация
Содержание
Установленные программы:
compile-et, ftp,
ftpd, gss-client, gss-server, k5srvutil, kadmin, kadmin.local,
kadmind, kadmind4, kdb5_util, kdestroy, kinit, klist, klogind,
kpasswd, kprop, kpropd, krb5-send-pr, krb5-config, krb524d,
krb524init, krb5kdc, kshd, ksu, ktutil, kvno, login.krb5, rcp,
rlogin, rsh, sclient, sim_client, sim_server, sserver, telnet,
telnetd, uuclient, uuserver, v5passwd, v5passwdd.
Установленные библиотеки:
libcom_err.[so,a],
libdes425.[so,a], libgssapi.[so,a], libgssrpc.[so,a],
libkadm5clnt.[so,a], libkadm5srv.[so,a], libkdb5.[so,a],
libkrb5.[so,a], libkrb4.[so,a].
Установленные каталоги:
/usr/include/kerberosIV и /var/lib/krb5kdc.
Короткое описание
Найди своих коллег! |