Kerberos认证实验
实验目的
1.了解身份认证的原理及其重要意义
2.学习Kerberos身份认证全过程
3.学会在Linux下配置Kerberos身份认证系统
系统环境
Kerberos的实验同样需要3台机器,分别扮演不同的角色:(服务器为linux6.2)
192.168.71.134 kdc.example.com Kerberos服务器和NIS服务器
192.168.71.131 server.example.com 应用服务器,如ssh,ftp,krb5-telnet等
192.168.71.137 client.example.com 客户机
Kerberos版本:kerberosv5 1.63
192.168.71.134kdc的配置:
步骤一:安装kerberos:
[root@localhost~]# rpm -qa |grep krb5*
krb5-libs-1.9-22.el6.i686
krb5-auth-dialog-0.13-3.el6.i686
krb5-workstation-1.9-22.el6.i686
krb5-server-ldap-1.9-22.el6.i686
krb5-server-1.9-22.el6.i686
pam_krb5-2.3.11-9.el6.i686
#useradd-u 6001 user1 创建一普通用户
步骤二:时间同步服务器NTP的安装:
注意:kerberos对时间同步要求严格,所以需要配置ntp服务。
[root@localhost~]# rpm -qa |grep ntp
ntpdate-4.2.4p8-2.el6.i686
fontpackages-filesystem-1.41-1.1.el6.noarch
ntp-4.2.4p8-2.el6.i686
以上是ntp所需的rpm包,查看系统是否安装,没有安装需要安装ntp-4.2.4p8-2.el6.i686
即可。
通过ntpd可以同步Kerberos系统中各台主机的时间。修改/etc/ntp.conf,然后添加一行。
restrict192.168.71.0 mask 255.255.255.0 nomodify notrap 表示对192.168.71.0网内主机提供时间同步服务。
然后重启ntp服务:[root@localhost~]# service ntpd restart
步骤三:.配置NIS(network information service)
目的是将kdc.example.com配置成NIS和Kerberos的服务器,NIS提供用户信息(UserInfomation),Kerberos提供认证信息(Authentication)。
1、NIS服务器的安装(服务名ypserv:)
[root@localhost~]# rpm -qa |grep ypserv
[root@localhost~]# cd /mnt/cdrom
[root@localhostcdrom]# cd Packages/
[root@localhostPackages]# ls yp*
ypbind-1.20.4-29.el6.i686.rpm yp-tools-2.9-12.el6.i686.rpm
ypserv-2.19-22.el6.i686.rpm
[root@localhostPackages]# rpm -ivh ypserv-2.19-22.el6.i686.rpm ( #yum-y install ypserv)
warning:ypserv-2.19-22.el6.i686.rpm: Header V3 RSA/SHA256 Signature, key IDfd431d51: NOKEY
Preparing... ########################################### [100%]
1:ypserv ########################################### [100%]
配置ypserv,增加NIS域,NISDOMAIN=hebau
#vim/etc/sysconfig/network
#nisdomainnamehebau
固定ypserv的端口,在vim/etc/sysconfig/network添加参数YPSERV_ARGS=808
2、[root@localhostyp]# nisdomainname hebau
编辑 /etc/rc.d/rc.local文件
#!/bin/sh
#
#This script will be executed *after* all the other init scripts.
#You can put your own initialization stuff in here if you don't
#want to do the full Sys V style init stuff.
touch/var/lock/subsys/local
/bin/nisdomainnamehebau
生成NIS