kerberos的安装配置

　　kerberos是由MIT开发的提供网络认证服务的系统，很早就听说过它的大名，但一直没有使用过它。它可用来为网络上的各种server提供认证服务,使得口令不再是以明文方式在网络上传输，并且联接之间通讯是加密的；它和PKI认证的原理不一样，PKI使用公钥体制(不对称密码体制)，kerberos基于私钥体制(对称密码体制)。
　　
　　本篇文章不打算详细讲解kerberos的工作原理，而是侧重介绍在redhat8.0环境下如何使用kerberos自己提供的Ktelnetd，Krlogind，Krshd来替代传统的telnetd，rlogind，rshd服务，有关kerberos工作的原理可以参考《Kerberos:AN Authentication Services for Computer Networks》。
　　
　　安装环境：一台i386机器。
　　安装包：krb5-server-1.2.5-6，krb5-workstation-1.2.5-6，krb5-libs-1.2.5-6
　　rpm -ivh krb5-libs-1.2.5-6.i386.rpm
　　rpm -ivh krb5-server-1.2.5-6.i386.rpm
　　rpm -ivh krb5-workstation-1.2.5-6.i386.rpm
　　
　　上述要求满足后，我们就可以先配KDC服务器，然后再配Ktelnetd，Krlogind,Krsh服务器，最后就可以使用krb5-workstation提供的telnet，rlogin，rsh来登录这些服务了。下面是安装步骤：
　　
　　1、生成kerberos的本地数据库 网管论坛bbs_bitsCN_com
　　kdb5_util create -r EXAMPLE.COM -s
　　这个命令用来生成kerberos的本地数据库，包括几个文件：principal，principal.OK，principal.kadm5，principal.kadm5.lock. -r 指定realm(kerberos术语)，我们随便取一个叫EXAMPLE.COM.
　　
　　2、生成账号
　　kerberos用principal(kerberos术语)来表示realm下的一个帐户，表示为primary/instance@realm，举个例子就是username/9.181.92.90@EXAMPLE.COM,这里假设9.181.92.90是你机器的ip地址.
　　
　　在数据库中加入管理员帐户：
　　/usr/kerberos/sbin/kadmin.local
　　kadmin.local: addprinc admin/admin@EXAMPLE.COM
　　在数据库中加入用户的帐号：
　　kadmin.local: addprinc username/9.181.92.90@EXAMPLE.COM
　　在数据库中加入Ktelnetd，Krlogind，Krshd公用的帐号：
　　kadmin.local: addprinc -randkey host/9.181.92.90@EXAMPLE.COM
　　
　　3、检查/var/kerberos/krb5kdc/kadm5.keytab是否有下列语句：

网管u家u.bitsCN.com

　　*/admin@EXAMPLE.COM *
　　若没有，那么就添上。
　　
　　4、修改/etc/krb5.conf文件，修改所有的realm为EXAMPLE.COM,并且加入下列句子
　　kdc = 9.181.92.90:88
　　admin_server = 9.181.92.90:749
　　
　　5、在/etc/krb.conf中加入下列语句：
　　EXAMPLE.COM
　　EXAMPLE.COM 9.181.92.90:88
　　EXAMPLE.COM 9.181.92.90:749 admin server
　　
　　6、启动kdc服务器和Ktelnetd，Krlogind，Krshd
　　/etc/init.d/krb5kdc restart
　　chkconfig klogin on
　　chkconfig kshell on
　　chkconfig eklogin on
　　chkconfig krb5-telnet on
　　/etc/init.d/xinetd restart
　　
　　7、制作本地缓存
　　将username/9.181.92.90@EXAMPLE.COM的credentials(kerberos术语)取到本地做为cache，这样以后就可以不用重复输入password了。
　　kinit username/9.181.92.90
　　如果顺利的话，在/tmp下面会生成文件krb5*；这步如果不通，那么就必须检查以上步骤是否有漏。
　　可以用klist命令来查看credential。
　　
　　8、导出用户密匙
　　export host/9.181.92.90@EXAMPLE.COM的key到/etc/krb5.keytab，Ktelnetd、Krlogind和Krshd需要/etc/krb5.keytab来验证username/9.181.92.90的身份。 网管bitscn_com
　　kadmin.local: ktadd -k /etc/krb5.keytab host/9.181.92.90
　　
　　9、修改~/.k5login文件
　　在其中加入username/9.181.92.90@EXAMPLE.COM，表示允许username/9.181.92.90@EXAMPLE.COM登录该帐户
　　
　　cat username/9.181.92.90@EXAMPLE.COM >>~/.k5login
　　
　　10、测试kerberos客户端
　　krsh 9.181.92.90 -k EXAMPLE.COM ls
　　krlogin 9.181.92.90 -k EXAMPLE.COM
　　rlogin 9.181.92.90 -k EXAMPLE.COM
　　rsh 9.181.92.90 -k EXAMPLE.COM
　　telnet -x 9.181.92.90 -k EXAMPLE.COM