Egal ob BigData, DevOps oder Infrastruktur, irgendwann kommt immer das Thema Sicherheit und Berechtigung auf. Immer wieder hört oder liest man in diesem Zusammenhang von Kerberos, aber viele Admins scheuen das Thema aufgrund einer gewissen Komplexität. Aus diesem Grund möchte ich heute zeigen, wie man einen Kerberos Server installiert und die ersten Einstellungen vornimmt.
Voraussetzung für eine Installation ist die funktionierende Namensauflösung des Servers, sowie für alle Server die zu einem späteren Zeitpunkt integriert werden sollen.
Installation von Kerberos
Die Installation von Kerberos kann mit einem Befehl durchgeführt werden, mehr ist dafür erst mal nicht notwendig. Der Befehl lautet wie folgt:
1 | yum install krb5-server krb5-workstation pam_krb5 |
krb5-server ist hierbei die Serverkomponente, krb5-workstation die Clientkomponente und pam_krb5 ein Modul zur Integration von Kerberos in pam.
Konfiguration von Kerberos
Für die Konfiguration von Kerberos müssen an drei Dateien Anpassungen durchgeführt werden:
- /var/kerberos/krb5kdc/kadm5.acl
- /var/kerberos/kdc.conf
- /etc/krb5.conf
Wir gehen hierbei davon aus, dass Kerberos für die Domain piazzimedia.local eingerichtet werden soll. Dementsprechend sieht der Inhalt von /var/kerberos/krb5kdc/kadm5.acl wie folgt aus:
1 | */admin@PIAZZIMEDIA.LOCAL * |
In /var/kerberos/kdc.conf muss nur Zeile 6 für realms angepasst werden.
1 2 3 4 5 6 7 8 9 10 | [kdcdefaults] kdc_ports = 88 kdc_tcp_ports = 88 [realms] PIAZZIMEDIA.LOCAL = { #master_key_type = aes256-cts acl_file = /var/kerberos/krb5kdc/kadm5.acl dict_file = /usr/share/dict/words admin_keytab = /var/kerberos/krb5kdc/kadm5.keytab supported_enctypes = aes256-cts:normal aes128-cts:normal des3-hmac-sha1:normal arcfour-hmac:normal camellia256-cts:normal camellia128-cts:normal des-hmac-sha1:normal des-cbc-md5:normal des-cbc-crc:normal |
Als drittes und letztes passen wir die Datei /etc/krb5.conf an. Hier müssen die Einstellungen für realms und domain_realm angepasst werden.
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 | includedir /etc/krb5.conf.d/ [logging] default = FILE:/var/log/krb5libs.log kdc = FILE:/var/log/krb5kdc.log admin_server = FILE:/var/log/kadmind.log [libdefaults] dns_lookup_realm = false ticket_lifetime = 24h renew_lifetime = 7d forwardable = true rdns = false default_realm = NOVA.LOCAL default_ccache_name = KEYRING:persistent:%{uid} [realms] NOVA.LOCAL = { kdc = kerberos.piazzimedia.local admin_server = kerberos.piazzimedia.local } [domain_realm] .piazzimedia.local = PIAZZIMEDIA.LOCAL piazzimedia.local = PIAZZIMEDIA.LOCAL |
Nachdem die Anpassungen an den Dateien nun fertig sind, müssen wir die Datenbank für Kerberos anlegen. Dies geschieht mit dem folgenden Befehl:
1 | kdb5_util create -s -r PIAZZIMEDIA.LOCAL |
Damit ist die eigentliche Installation von Kerberos abgeschlossen. Im nächsten Artikel werden wir uns anschauen, wie man einen User anlegt und wie man die Authentifizierung eines ssh Zugriffs realisiert.
Schreibe einen Kommentar