Modius - Techblog

  • facebook
  • twitter
  • google
  • youtube
  • rss
  • github
  • Ansible
  • Docker
  • Gastautor werden
  • Über Mich
  • Kontakt

Kerberos richtig unter CentOS 7 installieren

Veröffentlicht am 27. April 2018 von Christian Piazzi Hinterlasse ein Kommentar , Aktualisiert am 30. Mai 2018

Kerberos Beitragsbild - Schlüssel auf einem BrettEgal ob BigData, DevOps oder Infrastruktur, irgendwann kommt immer das Thema Sicherheit und Berechtigung auf. Immer wieder hört oder liest man in diesem Zusammenhang von Kerberos, aber viele Admins scheuen das Thema aufgrund einer gewissen Komplexität. Aus diesem Grund möchte ich heute zeigen, wie man einen Kerberos Server installiert und die ersten Einstellungen vornimmt.

Voraussetzung für eine Kerberos Installation ist die funktionierende Namensauflösung des Kerberos Servers, sowie für alle Server die zu einem späteren Zeitpunkt integriert werden sollen.

Installation von Kerberos

Die Installation von Kerberos kann mit einem Befehl durchgeführt werden, mehr ist dafür erst mal nicht notwendig.

1
yum install krb5-server krb5-workstation pam_krb5

krb5-server ist hierbei die Serverkomponente, krb5-workstation die Clientkomponente und pam_krb5 ein Modul zur Integration von Kerberos in pam.

Konfiguration von Kerberos

Für die Konfiguration von Kerberos müssen an drei Dateien Anpassungen durchgeführt werden:

  • /var/kerberos/krb5kdc/kadm5.acl
  • /var/kerberos/kdc.conf
  • /etc/krb5.conf

Wir gehen hierbei davon aus, dass Kerberos für die Domain piazzimedia.local eingerichtet werden soll. Dementsprechend sieht der Inhalt von /var/kerberos/krb5kdc/kadm5.acl wie folgt aus:

1
*/admin@PIAZZIMEDIA.LOCAL      *

In /var/kerberos/kdc.conf muss nur Zeile 6 für realms angepasst werden.

1
2
3
4
5
6
7
8
9
10
11
[kdcdefaults]
kdc_ports = 88
kdc_tcp_ports = 88
[realms]
PIAZZIMEDIA.LOCAL = {
  #master_key_type = aes256-cts
  acl_file = /var/kerberos/krb5kdc/kadm5.acl
  dict_file = /usr/share/dict/words
  admin_keytab = /var/kerberos/krb5kdc/kadm5.keytab
  supported_enctypes = aes256-cts:normal aes128-cts:normal des3-hmac-sha1:normal arcfour-hmac:normal camellia256-cts:normal camellia128-cts:normal des-hmac-sha1:normal des-cbc-md5:normal des-cbc-crc:normal

Als drittes und letztes passen wir die Datei /etc/krb5.conf an. Hier müssen die Einstellungen für realms und domain_realm angepasst werden.

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
includedir /etc/krb5.conf.d/
[logging]
default = FILE:/var/log/krb5libs.log
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmind.log
[libdefaults]
dns_lookup_realm = false
ticket_lifetime = 24h
renew_lifetime = 7d
forwardable = true
rdns = false
default_realm = NOVA.LOCAL
default_ccache_name = KEYRING:persistent:%{uid}
[realms]
NOVA.LOCAL = {
  kdc = kerberos.piazzimedia.local
  admin_server = kerberos.piazzimedia.local
}
[domain_realm]
.piazzimedia.local = PIAZZIMEDIA.LOCAL
piazzimedia.local = PIAZZIMEDIA.LOCAL

Nachdem die Anpassungen an den Dateien nun fertig sind, müssen wir die Datenbank für Kerberos anlegen. Dies geschieht mit dem folgenden Befehl:

1
kdb5_util create -s -r PIAZZIMEDIA.LOCAL

Damit ist die eigentliche Installation von Kerberos abgeschlossen. Im nächsten Artikel werden wir uns anschauen, wie man einen User in Kerberos anlegt und wie man die Authentifizierung eines ssh Zugriffs mit Kerberos realisiert.

Kategorie: Sicherheit Tags: Authentifizierung, Kerberos, krb5, Security

Über Christian Piazzi

Ich blogge hier über alles, was mir so in meinem ITler Altag über den Weg läuft =)
Man findet mich privat bei Google+ und Twitter

Schreibe einen Kommentar Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Kategorien

  • Linux
  • Internet, Bloggen & Co
  • Programmierung
  • Sicherheit
  • Netzwerk & Co
  • Mikrokontroller
  • Windows

Beliebte Artikel

  • Nextcloud https mit self-signed Zertifikat einrichten
  • Docker Container – anzeigen, starten, stoppen und löschen
  • Fritzbox 7490 – VPN mit dynDNS einrichten
  • Eigenes Docker Images mit Dockerfile erstellen
  • Docker Network – Eine kleine Übersicht

Neue Kommentare

  • Christian Piazzi bei Nextcloud https mit self-signed Zertifikat einrichten
  • Jürgen Diermann bei Nextcloud https mit self-signed Zertifikat einrichten
  • Christian Piazzi bei Docker Container – anzeigen, starten, stoppen und löschen
  • Campers death bei Arduino – 4fach 7-Segmentanzeige mit Schieberegister
  • Jan bei Docker Container – anzeigen, starten, stoppen und löschen

Werbung

Archive

Kontakt, Datenschutz und Impressum

  • Kontakt
  • Datenschutz
  • Impressum

Schlagwörter

Anleitung Ansible Apache Apple App Store Automatisierung Blogparade C++ Centos CentOS7 centos 7 Datenbank DevOps Docker Dr. Racket Dr. Scheme funktional Gastartikel Google HowTo httpd Icinga2 Icinga 2 Installation itsm Linux Minecraft Monitoring mooc MySQL owncloud PHP Plugin Programmierung python Raspberry Pi Schritt für Schritt Server Sicherheit Tutorial Ubuntu Update Web-Engineering Windows Wordpress

Copyright © 2019 · Outreach Pro Theme on Genesis Framework · WordPress · Log in