Сетевые средства Linux

Смит Родерик В.

kadmin.local: addprinc \

 host/[email protected]

kadmin.local: addprinc \

 telnet/[email protected]

kadmin.local: ktadd -k gingko.keytab \

 host/gingko.threeroomco.com telnet/gingko.threeroomco.com

Файл

gingko.keytab

, полученный в результате описанных действий, надо переместить в каталог

/etc

компьютера, на котором выполняется сервер приложений, и присвоить ему имя

krb5.keytab

. Так как файл содержит чрезвычайно важную информацию,

для его копирования надо применять средства, исключающие утечку данных, например перенести файл на дискету или использовать

scp

. Записав файл по месту назначения, надо установить права, позволяющие обращаться к нему только пользователю

root

, и удалить файл с компьютера KDC. Данный файл можно непосредственно создать на том компьютере, на котором установлен сервер приложений. В этом случае при вызове команды

ktadd

не надо указывать опцию

– k gingko.keytab

; система самостоятельно разместит файл в нужном каталоге. Данный метод пригоден, только если средства администрирования установлены и корректно сконфигурированы; кроме того, необходимо, чтобы была правильно выбрана базовая конфигурация Kerberos.

Запуск керберизованных серверов

Как правило, в состав стандартного пакета Kerberos входят керберизованные серверы и локальные средства аутентификации, например, программы, поддерживающие протоколы Telnet и FTP, а также разновидности

shell

,

exec

и

login

. Керберизованные программы надо установить вместо их традиционных аналогов. Так, если в вашей системе используется

inetd

, вам надо включить в файл

/etc/inetd.conf

следующие данные:

klogin stream tcp nowait root /usr/kerberos/sbin/klogind \

 klogind -k -c

eklogin stream tcp nowait root /usr/kerberos/sbin/klogind \

 klogind -k -c -e

kshell stream tcp nowait root /usr/kerberos/sbin/kshd \

 kshd -k -c -A

stream tcp nowait root /usr/kerberos/sbin/ftpd \

 ftpd -a

telnet stream tcp nowait root /usr/kerberos/sbin/telnetd \

 telnetd -a valid

Приведенные выше строки заменяют соответствующие записи в составе файла.

Помимо программ, которые распространяются в составе пакета Kerberos, доступны также керберизованные варианты других серверов. Подобные серверы поставляются независимыми производителями. Прежде чем использовать такие продукты, необходимо тщательно изучить документацию и выяснить их возможности и особенности выполнения.

Настройка клиентов Kerberos

Для того чтобы пользователь мог работать с системой Kerberos, надо в первую очередь создать принципала для этого пользователя. Принципалы пользователей имеют вид

имя_пользователя@имя_области

, и для их создания применяются утилиты

kadmin

и

kadmin.local

. После создания принципала пользователь может обращаться к серверам с помощью клиентов, ориентированных на работу в системе Kerberos. Вам, как системному администратору, необходимо установить соответствующие клиентские программы. Пользователям также потребуются утилиты, предназначенные для получения TGT и управления ими. Если вы захотите, чтобы средства Kerberos использовались для управления регистрацией на отдельных рабочих станциях, вам надо модифицировать обычные инструменты регистрации.

Обеспечение доступа к серверам Kerberos

На

первый взгляд может показаться, что для обращения к серверам приложений Kerberos достаточно иметь соответствующие клиентские программы. На самом деле ситуация выглядит несколько сложнее. Прежде всего, в процессе обмена участвуют специальные утилиты: пользователь должен иметь возможность получить TGT и при необходимости изменить пароль Kerberos. Кроме того, к самим клиент-программам Kerberos предъявляются специальные требования; без поддержки специфических возможностей клиенты Kerberos превращаются в обычные клиентские программы, не обеспечивающие повышенный уровень защиты.

Использование сетевых утилит Kerberos

В состав пакета Kerberos входят утилиты, предназначенные для управления паролями и билетами Kerberos. Наиболее важные из них перечислены ниже.

•

kinit

. Эта программа получает TGT. Ее действие можно представить себе как "регистрацию" пользователя в области Kerberos; до запуска

kinit

воспользоваться клиентами Kerberos невозможно. При выполнении программа

kinit

обращается к KDC для получения TGT. Как было сказано в начале данной главы, TGT используется керберизованными приложениями для получения разрешения на пользование серверами приложений Kerberos. По умолчанию в качестве основы идентификатора принципала применяется имя пользователя; в этом же идентификаторе указывается имя области, принятое по умолчанию. Если вам необходимо, чтобы использовался другой идентификатор принципала, его надо указать при вызове программы. Соответствующая команда может иметь вид

kinit [email protected]

. Программа

kinit

также поддерживает и другие опции. Подробную информацию о них можно получить, обратившись к страницам справочной системы, посвященным

kinit

.

• 

klist

. Данная программа выводит список билетов (в том числе TGT), выданных на текущий момент, а также информацию о сроке их действия. Если программа

kinit

еще не запущена,

klist

не выведет сведений ни об одном билете.

• 

kpasswd

. Программа

kpasswd

не имеет отношения к поддержке конкретных сеансов Kerberos; она позволяет изменять пароль принципала в базе данных Kerberos. Эта программа по сути представляет собой аналог

passwd

. Для использования

kpasswd

необходимо иметь TGT.

• 

kdestroy

. Данная программа удаляет все билеты из кэша пользователя. Обычно она вызывается перед окончанием сеанса работы в системе или в том случае, если пользователь твердо знает, что в ближайшем будущем он не будет работать с серверами Kerberos. Несмотря на то что билеты автоматически удаляются по истечении срока их действия, рекомендуется после окончания работы с билетами вызывать программу

kdestroy

. Это снизит вероятность того, что злоумышленник сможет обнаружить недостатки в системе защиты и использовать их в своих целях.

Совет

Желательно включать вызов

kdestroy

в состав

.logout

,

.xinitrc

и других стандартных файлов, которые выполняются по окончании сеанса работы пользователя в системе. При использовании модулей РАМ (они будут рассматриваться далее в этой главе)

kdestroy

вызывается автоматически.

Как используются перечисленные выше утилиты на практике? В большинстве случаев программы

kinit

и

kdestroy

вызываются соответственно в начале и в конце сеанса работы. Чтобы определить текущее состояние билетов, можно использовать утилиту

klist

. Рассмотрим следующий пример: