日本免费全黄少妇一区二区三区-高清无码一区二区三区四区-欧美中文字幕日韩在线观看-国产福利诱惑在线网站-国产中文字幕一区在线-亚洲欧美精品日韩一区-久久国产精品国产精品国产-国产精久久久久久一区二区三区-欧美亚洲国产精品久久久久

  1. 首頁 > 云知道 > >

FreeBSD 上使用Kerberos 5認證( 三 )

云知道


[ Kerberos V5 accepts you as `` cnhawk/test1.the9.com@THE9.COM"" ]
FreeBSD/i386 (test3.the9.com) (ttyp1)
%id
uid=1001(cnhawk) gid=0(wheel) groups=0(wheel)

第二部分 Kerberos 5安裝和應(yīng)用 1.系統(tǒng)安裝需要安裝兩臺FreeBSD 5.2.1的系統(tǒng),一臺FreeBSD 4.9 三個系統(tǒng)我是用虛擬機上安裝的 。
測試機A
操作系統(tǒng):FreeBSD test1.the9.com 5.2.1-RELEASE FreeBSD 5.2.1-RELEASE #0: Mon Feb 23 20:45:55 GMT 2004 root@wv1u.btc.adaptec.com:/usr/obj/usr/src/sys/GENERIC i386
IP地址:192.168.0.2
機器名:test1.the9.com
測試機B
操作系統(tǒng):FreeBSD test2.the9.com 4.9-RELEASE FreeBSD 4.9-RELEASE #0: Mon Oct 27 17:51:09 GMT 2003 root@freebsd-stable.sentex.ca:/usr/obj/usr/src/sys/GENERIC i386
IP地址:192.168.0.3
機器名:test2.the9.com
測試機C :
操作系統(tǒng):FreeBSD test3.the9.com 5.2.1-RELEASE FreeBSD 5.2.1-RELEASE #0: Mon Feb 23 20:45:55 GMT 2004 root@wv1u.btc.adaptec.com:/usr/obj/usr/src/sys/GENERIC i386
IP地址:192.168.0.4
機器名:test3.the9.com
2.Kerberos 5軟件安裝和配置
Kerberos 5直接在ports中安裝就好了,最新版本為krb5-1.3.1_1 。
在測試機A上安裝
Test1# cd /usr/ports/security/krb5/
Test1# make && make install

測試機B上安裝FreeBSD 4.9 在安裝的時候就選擇krb5
在B上安裝DNS
Test2# cd /usr/ports/dns/bind9
Test2# make && make install

在測試機C上安裝
Test3# cd /usr/ports/security/krb5/
Test3# make && make install

我們的選擇測試機A為KDC服務(wù)器,測試機B為客戶端 。
好我們現(xiàn)在登陸測試機A,在/etc/rc.conf里添加上以下兩條
kerberos5_server_enable="YES"
kadmind5_server_enable="YES"

這樣服務(wù)器下次重新啟動以后就可以直接啟動kerberos5服務(wù)了,然后創(chuàng)建/etc/krb5.conf,加上以下的內(nèi)容;
[libdefaults]
default_realm = THE9.COM
[realms]
THE9.COM = {
kdc = test1.the9.com
admin_server = test1.the9.com
default_domain = the9.com
}
[domain_realm]
.the9.com = THE9.COM
[logging]
default = FILE:/var/log/krb5libs.log
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmind.log

因為Kerberos需要互相解析域名,設(shè)置DNS,能夠互相解析地址 。登陸測試機B,
將測試機A上的/etc/krb5.conf拷貝到測試機B和測試機C上;
3.Kerberos 5的調(diào)試和部署
同時reboot掉兩個系統(tǒng),機器啟動完成以后需要同步兩臺服務(wù)器的時間,時間對Kerberos 來說非常重要,Kerberos默認允許的時間偏移量很小,如果兩臺服務(wù)器的時間差超過了Kerberos 允許值,就無法從KDC服務(wù)器上取得票據(jù) 。我寫了腳本定時去時間服務(wù)器上來同步時間 。時間完成以后開始在測試機A上操作;
Test1# kstash
Master key: hawk
Verifying password - Master key: hawkTest1# kadmin -l
kadmin> init THE9.COM //添加默認的域名應(yīng)該和krb5.conf里保持一致
Realm max ticket life [unlimited]:
kadmin> add cnhawk/test1.the9.com //直接輸入用戶名/后面說明這個是哪個主機的用戶,登陸時候使用cnhawk/test1.the9.com@THE9.CON
Max ticket life [unlimited]:
Max renewable life [unlimited]:
Attributes []:
Password: hawk
Verifying password - Password: hawk
kadmin> exit
hawk#


用戶添加完成以后進行本地測試 。
hawk# kinit cnhawk/test1.the9.com@THE9.COM
cnhawk/test1.the9.com@THE9.COM"s Password:
hawk# klist -f
Credentials cache: FILE:/tmp/krb5cc_0
Principal: cnhawk/test1.the9.com@THE9.COMIssued Expires Flags Principal
Jun 7 17:12:21 Jun 8 03:12:21 I krbtgt/THE9.COM@THE9.COM


我們可以看到本地已經(jīng)拿到票據(jù)了 。
下面添加測試機B的域名地址信息,就是允許測試機B能登陸測試機A 。特別注意Kerberos必須使用域名來訪問機器 。如果使用IP添加主機會出現(xiàn)一些意外的問題 。
test1# kadmin -l

推薦閱讀