Use el servicio Kerberos en Linux

Uno de los pasos más desafiantes para los administradores de datos es el proceso completo de mantener la seguridad y la integridad de sus sistemas. El proceso crítico implica asumir la responsabilidad de lo que hace cada usuario. También implica una comprensión y control en profundidad de lo que sucede con cada aplicación, servidor y servicio dentro de su infraestructura de red.

Kerberos sigue siendo uno de los protocolos de autenticación más seguros en los entornos de Linux. Más tarde descubrirá que Kerberos también es útil para fines de cifrado.

Este artículo analiza cómo implementar el servicio Kerberos en el sistema operativo Linux. La guía lo llevará a través de los pasos obligatorios que asegura que el servicio Kerberos en un sistema Linux sea exitoso.

Uso del servicio Kerberos en Linux: una descripción general

La esencia de la autenticación es proporcionar un proceso confiable para garantizar que identifique a todos los usuarios en su estación de trabajo. También ayuda a controlar a qué pueden acceder los usuarios. Este proceso es bastante difícil en entornos de red abiertos a menos que confíe exclusivamente en iniciar sesión en cada programa por cada usuario utilizando contraseñas.

Pero en casos ordinarios, los usuarios deben obtener contraseñas para acceder a cada servicio o aplicación. Este proceso puede ser agitado. Nuevamente, el uso de contraseñas cada vez es una receta para la fuga de contraseña o vulnerabilidad al delito cibernético. Kerberos es útil en estos casos.

Además de permitir a los usuarios registrarse solo una vez y acceder a todas las aplicaciones, Kerberos también permite que el administrador examine continuamente a lo que cada usuario puede acceder. Idealmente, usar el Kerberos Linux tiene como objetivo abordar lo siguiente;

• Asegúrese de que cada usuario tenga su identidad única y ningún usuario toma la identidad de otra persona.
• Asegúrese de que cada servidor tenga su identidad única y lo demuestre. Este requisito evita la posibilidad de que los atacantes se arrastren para suplantar a los servidores.

Guía paso a paso sobre cómo usar Kerberos en Linux

Los siguientes pasos lo ayudarán a usar Kerberos en Linux correctamente:

Paso 1: Confirme si tiene KBR5 instalado en su máquina

Compruebe si tiene la última versión de Kerberos instalada usando el comando a continuación. Si no lo tiene, puede descargar e instalar KBR5. Ya discutimos el proceso de instalación en un artículo diferente.

Paso 2: crear una ruta de búsqueda

Deberá crear una ruta de búsqueda agregando /usr/kerberos/bin y/usr/kerberos/sbin a la ruta de búsqueda.

Paso 3: Configura el nombre de tu reino

Su nombre real debe ser su nombre de dominio DNS. Este comando es:

Deberá modificar los resultados de este comando para adaptarse a su entorno de reino.

Paso 4: Cree e inicie su base de datos KDC para el principal

Cree un centro de distribución clave para la base de datos principal. Por supuesto, este es también el punto en el que necesitará crear su contraseña maestra para las operaciones. Este comando es necesario:

Una vez creado, puede iniciar el KDC usando el siguiente comando:

Paso 5: Configure un director personal de Kerberos

Es hora de configurar un director de KBR5 para ti. Debe tener privilegios administrativos, ya que necesitará los privilegios para administrar, controlar y ejecutar el sistema. También necesitará crear un director de host para el host KDC. El mensaje para este comando será:

# Kadmind [-m]

Es en este punto que es posible que necesite configurar sus kerberos. Vaya al dominio predeterminado en el archivo "/etc/krb5.config ”e ingrese el siguiente sendero de sordera = ist.UTL.PT. El reino también debe coincidir con el nombre de dominio. En este caso, Kenhint.Com es la configuración de dominio requerida para el servicio de dominio en el maestro primario.

Después de completar los procesos anteriores, se mostrará una ventana que captura el resumen del estado de los recursos de la red hasta este punto, como se muestra a continuación:

Se recomienda que la red valide a los usuarios. En este caso, tenemos que Kenhint debería tener un UID en un rango más alto que los usuarios locales.

Paso 6: Use el comando Kerberos Kinit Linux para probar el nuevo principal

Kinit Utility se utiliza para probar el nuevo director creado como se captura a continuación:

Paso 7: Crear contacto

Crear contacto es un paso increíblemente vital. Ejecute tanto el servidor de conteación de boletos como el servidor de autenticación. El servidor de devolución de boletos estará en una máquina dedicada a la que el administrador solo es accesible por la red y físicamente. Reducir todos los servicios de redes a la menor cantidad posible. Ni siquiera debes ejecutar el servicio SSHD.

Al igual que cualquier proceso de inicio de sesión, su primera interacción con KBR5 implicará la tecla en ciertos detalles. Una vez que ingrese su nombre de usuario, el sistema enviará la información al servidor de autenticación de Linux Kerberos. Una vez que el servidor de autenticación lo identifica, generará una sesión aleatoria para la correspondencia continua entre el servidor de devolución de boletos y su cliente.

El boleto generalmente contendrá los siguientes detalles:

Nombres tanto del servidor de devolución de boletos como del cliente

• VIDA DEL Ticket
• Tiempo actual
• La tecla de nueva generación
• La dirección IP del cliente

Paso 8: Pruebe utilizando el comando Kinit Kerberos para obtener credenciales de usuario

Durante el proceso de instalación, el dominio predeterminado se establece en IST.UTL. PT por el paquete de instalación. Después de eso, puede obtener un boleto usando el comando Kinit como capturado en la imagen a continuación:

En la captura de pantalla anterior, istkenhint se refiere a la identificación de usuario. Esta ID de usuario también vendrá con una contraseña para verificar si existe un boleto de Kerberos válido. El comando Kinit se usa para mostrar o recuperar los boletos y las credenciales presentes en la red.

Después de la instalación, puede usar este comando Kinit predeterminado para obtener un boleto si no tiene un dominio personalizado. También puede personalizar un dominio por completo.

En este caso, el istkenhint es la identificación de red correspondiente.

Paso 9: Pruebe el sistema de administración utilizando la contraseña obtenida anteriormente

Los resultados de la documentación se representan a continuación después de una ejecución exitosa del comando anterior:

Paso 10: reinicie el kadmin Servicio

Reiniciar el servidor utilizando el # Kadmind [-m] El comando le brinda acceso a la lista de control de usuarios en la lista.

Paso 11: monitorear cómo funciona su sistema

La captura de pantalla a continuación resalta los comandos agregados en/etc/llamado/db.Kenhint.Com para apoyar a los clientes para determinar automáticamente el centro de distribución de clave para los reinos utilizando los elementos DNS SRV.

Paso 12: use el comando klist para examinar su boleto y credenciales

Después de ingresar la contraseña correcta, la utilidad Klist mostrará la información a continuación en el estado del servicio Kerberos que se ejecuta en el sistema Linux, como se muestra en la captura de pantalla a continuación:

La carpeta Cache KRB5CC_001 contiene la denotación KRB5CC_ y la identificación del usuario como se indica en las capturas de pantalla anteriores. Puede agregar una entrada al archivo /etc /hosts para el cliente KDC para establecer la identidad con el servidor como se indica a continuación:

Conclusión

Después de completar los pasos anteriores, el reino y los servicios de Kerberos iniciados por el servidor Kerberos están listos y ejecutados en el sistema Linux. Puede continuar usando sus kerberos para autenticar a otros usuarios y editar privilegios de usuario.