[ Kerberos V5 accepts you as `` cnhawk/test1.the9.com@THE9.COM"" ]
FreeBSD/i386 (test3.the9.com) (ttyp1)
%id
uid=1001(cnhawk) gid=0(wheel) groups=0(wheel)
第二部分 Kerberos 5安装和应用 1.系统安装需要安装两台FreeBSD 5.2.1的系统,一台FreeBSD 4.9 三个系统我是用虚拟机上安装的 。
测试机A
操作系统:FreeBSD test1.the9.com 5.2.1-RELEASE FreeBSD 5.2.1-RELEASE #0: Mon Feb 23 20:45:55 GMT 2004 root@wv1u.btc.adaptec.com:/usr/obj/usr/src/sys/GENERIC i386
IP地址:192.168.0.2
机器名:test1.the9.com
测试机B
操作系统:FreeBSD test2.the9.com 4.9-RELEASE FreeBSD 4.9-RELEASE #0: Mon Oct 27 17:51:09 GMT 2003 root@freebsd-stable.sentex.ca:/usr/obj/usr/src/sys/GENERIC i386
IP地址:192.168.0.3
机器名:test2.the9.com
测试机C :
操作系统:FreeBSD test3.the9.com 5.2.1-RELEASE FreeBSD 5.2.1-RELEASE #0: Mon Feb 23 20:45:55 GMT 2004 root@wv1u.btc.adaptec.com:/usr/obj/usr/src/sys/GENERIC i386
IP地址:192.168.0.4
机器名:test3.the9.com
2.Kerberos 5软件安装和配置
Kerberos 5直接在ports中安装就好了,最新版本为krb5-1.3.1_1 。
在测试机A上安装
Test1# cd /usr/ports/security/krb5/
Test1# make && make install
测试机B上安装FreeBSD 4.9 在安装的时候就选择krb5
在B上安装DNS
Test2# cd /usr/ports/dns/bind9
Test2# make && make install
在测试机C上安装
Test3# cd /usr/ports/security/krb5/
Test3# make && make install
我们的选择测试机A为KDC服务器,测试机B为客户端 。
好我们现在登陆测试机A,在/etc/rc.conf里添加上以下两条
kerberos5_server_enable="YES"
kadmind5_server_enable="YES"
这样服务器下次重新启动以后就可以直接启动kerberos5服务了,然后创建/etc/krb5.conf,加上以下的内容;
[libdefaults]
default_realm = THE9.COM
[realms]
THE9.COM = {
kdc = test1.the9.com
admin_server = test1.the9.com
default_domain = the9.com
}
[domain_realm]
.the9.com = THE9.COM
[logging]
default = FILE:/var/log/krb5libs.log
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmind.log
因为Kerberos需要互相解析域名,设置DNS,能够互相解析地址 。登陆测试机B,
将测试机A上的/etc/krb5.conf拷贝到测试机B和测试机C上;
3.Kerberos 5的调试和部署
同时reboot掉两个系统,机器启动完成以后需要同步两台服务器的时间,时间对Kerberos 来说非常重要,Kerberos默认允许的时间偏移量很小,如果两台服务器的时间差超过了Kerberos 允许值,就无法从KDC服务器上取得票据 。我写了脚本定时去时间服务器上来同步时间 。时间完成以后开始在测试机A上操作;
Test1# kstash
Master key: hawk
Verifying password - Master key: hawkTest1# kadmin -l
kadmin> init THE9.COM //添加默认的域名应该和krb5.conf里保持一致
Realm max ticket life [unlimited]:
kadmin> add cnhawk/test1.the9.com //直接输入用户名/后面说明这个是哪个主机的用户,登陆时候使用cnhawk/test1.the9.com@THE9.CON
Max ticket life [unlimited]:
Max renewable life [unlimited]:
Attributes []:
Password: hawk
Verifying password - Password: hawk
kadmin> exit
hawk#
用户添加完成以后进行本地测试 。
hawk# kinit cnhawk/test1.the9.com@THE9.COM
cnhawk/test1.the9.com@THE9.COM"s Password:
hawk# klist -f
Credentials cache: FILE:/tmp/krb5cc_0
Principal: cnhawk/test1.the9.com@THE9.COMIssued Expires Flags Principal
Jun 7 17:12:21 Jun 8 03:12:21 I krbtgt/THE9.COM@THE9.COM
我们可以看到本地已经拿到票据了 。
下面添加测试机B的域名地址信息,就是允许测试机B能登陆测试机A 。特别注意Kerberos必须使用域名来访问机器 。如果使用IP添加主机会出现一些意外的问题 。
test1# kadmin -l
推荐阅读
- oppo r11s手机什么时候上市?oppo r11s多少钱?
- FreeBSD上的软件安装方法
- 减少农药残留几种方法
- 一 首信S750使用感受---照相功能图文说
- 用FreeBSD5.3建立安全网关,ADSL+FreeBSD+ipfilter+ipnat
- 流量怎么开启使用
- 福特嘉年华aux使用方法
- FreeBSD如何跑diskless
- FreeBSD光盘运行版的制作过程
- 91 FreeBSD连载:提升静态网页服务能力的综合方式