Kerberos » 이력 » 버전 6
SANGKYU KANG, 2018-06-04 10:53 오전
| 1 | 1 | SANGKYU KANG | h1. Kerberos |
|---|---|---|---|
| 2 | 2 | SANGKYU KANG | |
| 3 | |||
| 4 | 5 | SANGKYU KANG | |
| 5 | 설치 전 반드시 시간 동기화 |
||
| 6 | |||
| 7 | 2 | SANGKYU KANG | Yum install |
| 8 | <pre> |
||
| 9 | 3 | SANGKYU KANG | yum install krb5-* |
| 10 | 2 | SANGKYU KANG | </pre> |
| 11 | 1 | SANGKYU KANG | |
| 12 | 5 | SANGKYU KANG | /etc/krb5.conf |
| 13 | 1 | SANGKYU KANG | <pre> |
| 14 | [logging] |
||
| 15 | [libdefaults] |
||
| 16 | 5 | SANGKYU KANG | default_realm = BDP.TEST |
| 17 | dns_lookup_realm = false |
||
| 18 | dns_lookup_kdc = false |
||
| 19 | ticket_lifetime = 24h |
||
| 20 | forwardable = true |
||
| 21 | udp_preference_limit = 1000000 |
||
| 22 | default_tkt_enctypes = des-cbc-md5 des-cbc-crc des3-cbc-sha1 |
||
| 23 | default_tgs_enctypes = des-cbc-md5 des-cbc-crc des3-cbc-sha1 |
||
| 24 | permitted_enctypes = des-cbc-md5 des-cbc-crc des3-cbc-sha1 |
||
| 25 | 2 | SANGKYU KANG | |
| 26 | 1 | SANGKYU KANG | [realms] |
| 27 | 5 | SANGKYU KANG | BDP.TEST = { |
| 28 | kdc = KERBEROS.BDP.TEST:88 |
||
| 29 | admin_server = KERBEROS.BDP.TEST:749 |
||
| 30 | default_domain = BDP.TEST |
||
| 31 | } |
||
| 32 | 1 | SANGKYU KANG | |
| 33 | [domain_realm] |
||
| 34 | 5 | SANGKYU KANG | .bdp.test = BDP.TEST |
| 35 | bdp.test = BDP.TEST |
||
| 36 | |||
| 37 | [logging] |
||
| 38 | kdc = FILE:/var/log/krb5kdc.log |
||
| 39 | admin_server = FILE:/var/log/kadmin.log |
||
| 40 | default = FILE:/var/log/krb5lib.log |
||
| 41 | 1 | SANGKYU KANG | </pre> |
| 42 | |||
| 43 | 5 | SANGKYU KANG | |
| 44 | /var/kerberos/krb5kdc/kdc.conf on KDC |
||
| 45 | <pre> |
||
| 46 | default_realm = BDP.TEST |
||
| 47 | |||
| 48 | [kdcdefaults] |
||
| 49 | v4_mode = nopreauth |
||
| 50 | kdc_ports = 0 |
||
| 51 | |||
| 52 | [realms] |
||
| 53 | BDP.TEST = { |
||
| 54 | kdc_ports = 88 |
||
| 55 | admin_keytab = /etc/kadm5.keytab |
||
| 56 | database_name = /var/kerberos/krb5kdc/principal |
||
| 57 | acl_file = /var/kerberos/krb5kdc/kadm5.acl |
||
| 58 | key_stash_file = /var/kerberos/krb5kdc/stash |
||
| 59 | max_life = 10h 0m 0s |
||
| 60 | max_renewable_life = 7d 0h 0m 0s |
||
| 61 | master_key_type = des3-hmac-sha1 |
||
| 62 | supported_enctypes = arcfour-hmac:normal des3-hmac-sha1:normal des-cbc-crc:normal des:normal des:v4 des:norealm des:onlyrealm des:afs3 |
||
| 63 | default_principal_flags = +preauth |
||
| 64 | } |
||
| 65 | </pre> |
||
| 66 | |||
| 67 | /var/kerberos/krb5kdc/kadm5.acl on KDC |
||
| 68 | <pre> |
||
| 69 | */admin@BDP.TEST * |
||
| 70 | </pre> |
||
| 71 | |||
| 72 | 1 | SANGKYU KANG | create kerberos DB |
| 73 | <pre> |
||
| 74 | 5 | SANGKYU KANG | kdb5_util create -r BDP.TEST -s |
| 75 | 1 | SANGKYU KANG | -가상 머신에서 'roading random data' 메시지 출력 후 작업 처리에 오래 걸릴 수 있음 |
| 76 | 6 | SANGKYU KANG | 해당 연산은 온전히 CPU 능력에 의존함 |
| 77 | 5 | SANGKYU KANG | </pre> |
| 78 | |||
| 79 | admin principal 및 user pincipal 생성 |
||
| 80 | <pre> |
||
| 81 | kadmin.local |
||
| 82 | kadmin.local: addprinc root/admin |
||
| 83 | kadmin.local: addprinc test |
||
| 84 | kadmin.local: ktadd -k /var/kerberos/krb5kdc/kadm5.keytab kadmin/admin |
||
| 85 | kadmin.local: ktadd -k /var/kerberos/krb5kdc/kadm5.keytab kadmin/changepw |
||
| 86 | kadmin.local: exit |
||
| 87 | </pre> |
||
| 88 | |||
| 89 | KDC 서버를 위한 principal 생성 및 keytab 에 적용 |
||
| 90 | <pre> |
||
| 91 | kadmin.local |
||
| 92 | kadmin.local: addprinc -randkey host/kerberos.bdp.test |
||
| 93 | kadmin.local: ktadd host/kerberos.bdp.test |
||
| 94 | </pre> |
||
| 95 | |||
| 96 | |||
| 97 | |||
| 98 | |||
| 99 | |||
| 100 | |||
| 101 | |||
| 102 | |||
| 103 | =======client |
||
| 104 | |||
| 105 | kerberos client 설치 |
||
| 106 | <pre> |
||
| 107 | yum -y install krb5-workstation |
||
| 108 | </pre> |
||
| 109 | |||
| 110 | 서버의 /etc/krb5.conf 파일 복사 (동일 경로 동일 파일명) |
||
| 111 | |||
| 112 | client principal 생성 |
||
| 113 | <pre> |
||
| 114 | kadmin -p root/admin |
||
| 115 | kadmin: addpinc --randkey host/test.bdp.test |
||
| 116 | kadmin: ktadd host/kdc.bdp.test |
||
| 117 | 1 | SANGKYU KANG | </pre> |