Различия
Здесь показаны различия между двумя версиями данной страницы.
Предыдущая версия справа и слева Предыдущая версия Следующая версия | Предыдущая версия | ||
wiki:руководство_по_ubuntu_server:авторизация_по_сети:kerberos [2012/06/14 08:26] [Линукс клиент Kerberos] |
wiki:руководство_по_ubuntu_server:авторизация_по_сети:kerberos [2019/04/10 11:52] (текущий) [Линукс клиент Kerberos] |
||
---|---|---|---|
Строка 147: | Строка 147: | ||
** Используя утилиту **kprop**, загрузите базу данных на вторичный KDC: | ** Используя утилиту **kprop**, загрузите базу данных на вторичный KDC: | ||
<code>sudo kprop -r EXAMPLE.COM -f /var/lib/krb5kdc/dump kdc02.example.com</code> | <code>sudo kprop -r EXAMPLE.COM -f /var/lib/krb5kdc/dump kdc02.example.com</code> | ||
- | <note>Должно вернуться сообщение SUCCEEDED если распространение сработало. Если вернулось сообщени об ошибке, проверьте /var/log/syslog на вторичном KDC для дополнительной информации.</note> | + | <note>Должно вернуться сообщение SUCCEEDED, если распространение сработало. Если вернулось сообщение об ошибке, проверьте /var/log/syslog на вторичном KDC для дополнительной информации.</note> |
Вы можете также создать задачу cron для периодического обновления базы данных на вторичных KDC. Например, следующий код будет выгружать базу данных каждый час (обратите внимание, что длинная строка разделена чтобы соответствовать формату документа): | Вы можете также создать задачу cron для периодического обновления базы данных на вторичных KDC. Например, следующий код будет выгружать базу данных каждый час (обратите внимание, что длинная строка разделена чтобы соответствовать формату документа): | ||
<code> | <code> | ||
Строка 179: | Строка 179: | ||
Вас попросят ввести имя области Kerberos. Также, если у вас нет DNS сервера с настроенными записями Kerberos **SRV**, меню запросит у вас сетевое имя центра распространения ключей (KDC) и административного сервера области. | Вас попросят ввести имя области Kerberos. Также, если у вас нет DNS сервера с настроенными записями Kerberos **SRV**, меню запросит у вас сетевое имя центра распространения ключей (KDC) и административного сервера области. | ||
- | **dpkg-reconfigure** добавит записи в файл /etc/krb5.conf для вашей области. У вас будут записи, пхожие на следующие: | + | **dpkg-reconfigure** добавит записи в файл /etc/krb5.conf для вашей области. У вас будут записи, похожие на следующие: |
<code> | <code> | ||
[libdefaults] | [libdefaults] | ||
Строка 185: | Строка 185: | ||
... | ... | ||
[realms] | [realms] | ||
- | EXAMPLE.COM = } | + | EXAMPLE.COM = { |
kdc = 192.168.0.1 | kdc = 192.168.0.1 | ||
admin_server = 192.168.0.1 | admin_server = 192.168.0.1 | ||
Строка 191: | Строка 191: | ||
</code> | </code> | ||
- | + | <note>Если вы установите uid каждого вашего авторизованного в сети пользователя начиная с 5000, как предложено в [[#сервер_kerberos|Установке]], вы затем сможете указать pam аутентифицировать с помощью Kerberos только пользователей с uid > 5000: | |
- | If you set the uid of each of your network-authenticated users to start at 5000, as suggested in Installation, you can then tell pam to only try to authenticate using Kerberos users with uid > 5000: | + | <code> |
# Kerberos should only be applied to ldap/kerberos users, not local ones. | # Kerberos should only be applied to ldap/kerberos users, not local ones. | ||
for i in common-auth common-session common-account common-password; do | for i in common-auth common-session common-account common-password; do | ||
Строка 200: | Строка 199: | ||
/etc/pam.d/$i | /etc/pam.d/$i | ||
done | done | ||
+ | </code> | ||
+ | Это поможет избежать запросов (несуществующих) паролей Kerberos для локально аутентифицированных пользователей при смене у них пароля с помощью passwd.</note> | ||
- | This will avoid being asked for the (non-existent) Kerberos password of a locally authenticated user when changing its password using passwd. | + | Вы можете проверить настройки запросив билет с помощью утилиты **kinit**. Например: |
- | + | <code> | |
- | You can test the configuration by requesting a ticket using the kinit utility. For example: | + | |
kinit steve@EXAMPLE.COM | kinit steve@EXAMPLE.COM | ||
Password for steve@EXAMPLE.COM: | Password for steve@EXAMPLE.COM: | ||
+ | </code> | ||
- | When a ticket has been granted, the details can be viewed using klist: | + | Когда билет будет предоставлен, детали можно увидеть с помощью **klist**: |
+ | <code> | ||
klist | klist | ||
Ticket cache: FILE:/tmp/krb5cc_1000 | Ticket cache: FILE:/tmp/krb5cc_1000 | ||
Строка 221: | Строка 221: | ||
Kerberos 4 ticket cache: /tmp/tkt1000 | Kerberos 4 ticket cache: /tmp/tkt1000 | ||
klist: You have no tickets cached | klist: You have no tickets cached | ||
+ | </code> | ||
- | Next, use the auth-client-config to configure the libpam-krb5 module to request a ticket during login: | + | Затем используйте **auth-client-config** для настройки модуля libpam-krb5 для запроса билета в процессе входа: |
+ | <code>sudo auth-client-config -a -p kerberos_example</code> | ||
- | sudo auth-client-config -a -p kerberos_example | + | Теперь вы будете получать билет в случае удачной авторизации на входе. |
- | + | ||
- | You will should now receive a ticket upon successful login authentication. | + | |
====Ссылки==== | ====Ссылки==== | ||
- | For more information on MIT's version of Kerberos, see the MIT Kerberos site. | + | -- Для дополнительной информации по версии MIT Kerberos, смотрите сайт [[http://web.mit.edu/Kerberos/|MIT Kerberos]]. |
- | + | -- [[https://help.ubuntu.com/community/Kerberos|Ubuntu Wiki Kerberos]] для деталей. | |
- | The Ubuntu Wiki Kerberos page has more details. | + | -- [[http://oreilly.com/catalog/9780596004033/|Kerberos: The Definitive Guide]] от O'Reilly - великолепное руководство по установке Kerberos. |
- | + | -- Также почувствуйте свободу без остановки на IRC каналах **//#ubuntu-server//** и **//#kerberos//** на [[http://freenode.net/|Freenode]], если у вас остались вопросы по Kerberos. | |
- | O'Reilly's Kerberos: The Definitive Guide is a great reference when setting up Kerberos. | + | |
- | + | ||
- | Also, feel free to stop by the #ubuntu-server and #kerberos IRC channels on Freenode if you have Kerberos questions. | + | |
---- | ---- |