Configuración de Linux para autenticar kerberos

Kerberos sigue siendo uno de los protocolos de autenticación más seguros para la mayoría de los entornos de trabajo. Proporciona inicios de sesión de red o red confiables para los usuarios en redes no seguras. Idealmente, Kerberos proporciona a los usuarios boletos para ayudarlos a minimizar el uso frecuente de contraseñas a través de las redes.

El uso frecuente de las contraseñas aumenta la posibilidad de una violación de datos o robo de contraseña. Pero como la mayoría de los protocolos de autenticación, su éxito con Kerberos se basa en la instalación y la configuración adecuadas.

Muchas personas a veces encuentran configurar a Linux para usar Kerberos una tarea tediosa. Esto puede ser cierto para los usuarios por primera vez. Sin embargo, configurar Linux para autenticarse con Kerberos no es tan complicado como crees.

Este artículo le proporciona una guía paso a paso sobre la configuración de Linux para autenticarse usando Kerberos. Entre las cosas que aprenderá de este artículo incluye:

• Configuración de sus servidores
• Los requisitos previos necesarios para la configuración de Linux Kerberos
• Configuración de su KDC y bases de datos
• Gestión y administración de servicios de Kerberos

Guía paso a paso sobre cómo configurar Linux para autenticar usando kerberos

Los siguientes pasos deben ayudarlo a configurar Linux para autenticarse con Kerberos

Paso 1: asegúrese de que ambas máquinas cumplan con requisitos previos para configurar Kerberos Linux

En primer lugar, debe asegurarse de hacer lo siguiente antes de comenzar el proceso de configuración:

1. Debe tener un entorno funcional de Kerberos Linux. En particular, debe asegurarse de tener un cliente Kerberos (KDC) y el cliente Kerberos configurado en máquinas separadas. Supongamos que el servidor se denota con las siguientes direcciones de protocolo de Internet: 192.168.1.14, y el cliente se ejecuta en la siguiente dirección 192.168.1.15. El cliente solicita boletos del KDC.
2. La sincronización de tiempo es obligatoria. Utilizará la sincronización de tiempo de red (NTP) para garantizar que ambas máquinas se ejecuten en el mismo marco de tiempo. Cualquier diferencia de tiempo de más de 5 minutos dará como resultado un proceso de autenticación fallido.
3. Necesitará un DNS para la autenticación. El servicio de red de dominio ayudará a resolver conflictos en el entorno del sistema.

Paso 2: Configure un centro de distribución de clave

Ya debería tener un KDC funcional que haya configurado durante la instalación. Puede ejecutar el siguiente comando en su KDC:

Paso 3: Verifique los paquetes instalados

Comprobar el/ etc/ krb5.confusión archivo para averiguar qué paquetes existen. A continuación se muestra una copia de la configuración predeterminada:

Paso 4: Edite el predeterminado/var/kerberos/krb5kdc/kdc.archivo conf

Después de una configuración exitosa, puede editar el/var/kerberos/krb5kdc/kdc.Archivo de confirmación eliminando cualquier comentario en la sección Reino, default_reams y cambiándolos para que se ajuste a su entorno Kerberos.

Paso 5: crea la base de datos de Kerberos

Después de la confirmación exitosa de los detalles anteriores, procedemos a crear la base de datos Kerberos utilizando el KDB_5. La contraseña que creó es esencial aquí. Actuará como nuestra clave maestra, ya que la usaremos para cifrar la base de datos para almacenamiento seguro.

El comando anterior se ejecutará durante un minuto más o menos para cargar datos aleatorios. Mover el mouse alrededor de la prensa mantiene o en la GUI potencialmente sujetará el proceso.

Paso 6: Gestión de servicios

El siguiente paso es la gestión de servicios. Puede iniciar automáticamente su sistema para habilitar los servidores Kadmin y KRB5KDC. Sus servicios de KDC se configurarán automáticamente después de reiniciar su sistema.

Paso 7: Configure los firewalls

Si la ejecución de los pasos anteriores es exitosa, debe moverse para configurar el firewall. La configuración del firewall implica establecer las reglas de firewall correctas que permiten al sistema comunicarse con los servicios de KDC.

El siguiente comando debe ser útil:

Paso 8: Pruebe si el KRB5KDC se comunica con los puertos

El servicio Kerberos inicializado debe permitir el tráfico desde TCP y UDP Port 80. Puede realizar la prueba de confirmación para determinar esto.

En este caso, hemos permitido que los Kerberos apoyen el tráfico que exige Kadmin TCP 740. El protocolo de acceso remoto considerará la configuración y mejorará la seguridad para el acceso local.

Paso 9: Administración de Kerberos

Administrar el centro de distribución de clave utilizando el Kadnim.comando local. Este paso le permite acceder y ver el contenido en el kadmin.local. Puedes usar el "?"Comando para ver cómo se aplica addprinc en la cuenta de usuario para agregar un principal.

Paso 10: Configure el cliente

El centro de distribución clave aceptará conexiones y ofrecerá boletos a los usuarios hasta este punto. Algunos métodos son útiles para configurar el componente del cliente. Sin embargo, utilizaremos el protocolo de usuario gráfico para esta demostración, ya que es fácil y rápido de implementar.

Primero, tenemos que instalar la aplicación Authconfig-GTK utilizando los comandos a continuación:

La ventana de configuración de autenticación aparecerá después de completar la configuración y ejecutar el comando anterior en la ventana del terminal. El siguiente movimiento es seleccionar el elemento LDAP en el menú desplegable de identidad y autenticación y escribir kerberos como la contraseña correspondiente a la información del centro de distribución y el reino. En este caso, 192.168.1.14 es el protocolo de Internet.

Aplicar estas modificaciones una vez hecho.

Conclusión

Tendrá un Kerberos y el servidor del cliente completamente configurado después de la instalación cuando complete los pasos anteriores. La guía anterior toma uno a través del proceso de configuración de Linux para autenticarse con Kerberos. Por supuesto, puede crear un usuario.