Аутентифікація хоста Kerberos

1

Я створив сервер kerberos з наступною конфігурацією

krb5.conf: 

[logging]
default = FILE:/var/log/krb5libs.log
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmind.log
[libdefaults]
  default_realm = DOMAIN.NET
  dns_lookup_realm = true
  dns_lookup_kdc = true
  ticket_lifetime = 24h
  renew_lifetime = 7d
  forwardable = true
[realms]
  DOMAIN.NET= {
  kdc = server.priv.domain.net
  admin_server = server.priv.domain.net
 }

[domain_realm]
 .domain.net = DOMAIN.NET
  domain.net = DOMAIN.NET

kdc.conf 

[kdcdefaults]
kdc_listen = 88
kdc_tcp_listen = 88

[realms]
DOMAIN.NET = {
    database_name = /usr/local/var/krb5kdc/principal
    acl_file = /usr/local/var/krb5kdc/kadm5.acl
    key_stash_file = /usr/local/var/krb5kdc/.k5.DOMAIN.NET
    kdc_listen = 88
    kdc_tcp_listen = 88
    max_life = 10h 0m 0s
    max_renewable_life = 7d 0h 0m 0s

Я подумав, що kerberos приймає запит аутентифікації від хоста, який має keytab, виданий з сервера kerberos. Але мені здається, що він обслуговує аутентифікацію звідусіль, не існує жодного принципалу вузла і клавіатурної клавіші. Чи може хто-небудь проконсультувати?

Дякую,

P

linux  security  authentication  kerberos 
peep
джерело

Відповіді:

0

Припускаючи, що основна для вашого хосту була створена на сервері, треба запустити ktadd від kadmin оболонки

ktadd -k /etc/krb5.keytab host/blah.DOMAIN.NET

Вийдіть з kadmin оболонка і біг klist щоб переконатися, що ви отримали квиток Kerberos.

[1] - https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/6/html/Managing_Smart_Cards/Configuring_a_Kerberos_5_Client.html

NOLFXceptMe
джерело
Привіт NOLFXceptMe, здається, що мій сервер обслуговує кожного хоста, навіть головний клієнт-клієнт не був створений і не додано keytab. Отже, питання полягає в тому, чому сервер обслуговує аутентифікацію для клієнтів, які не мають принципових принципів і клавіатурних скорочень?
peep
Лише захищена служба запитує аутентифікацію на основі Kerberos і забороняє неавторизовані запити. Я не впевнений, яка послуга обслуговується клієнту. Ви маєте на увазі аутентифікацію LDAP?
NOLFXceptMe
Привіт, я можу перевірити автентичності користувача, використовуючи kinit на будь-якому хості, просто встановіть krb5.conf без основного вузла або розгортання keytab. Я очікував, що сервер krb відкине будь-яку аутентифікацію з будь-якої точки без головного елемента та клавіатури. Але мій сервер продовжує перевіряти автентичність ...
peep
Привіт, який вихід кліст? Якщо у вас є правильний вивід, я думаю, що ми можемо бути впевнені в тому, що клавіатура існує на хості.
NOLFXceptMe
Ну, якщо я не створив БУДЬ-ЯКИЙ головний хост і згенерований keytab (це так), але я все ще можу використовувати цей сервер kerberos для аутентифікації через SSH і NIS (з krb_pam модуль) означає для мене, мій kerberos сервер аутентифікації без основного елемента і клавіатури. Знову ж таки, я очікував, що сервер kerberos аутентифікує тільки, якщо присутній основний елемент і keytab в клієнтському вузлі. Чи не з цих вимог присутні на клієнті, SSH логін все ще працює .. чому?
peep
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.