...
Проверить настройку прямого и обратного разрешения имён можно командами:
Информацияcommand |
---|
nslookup <FQDN_имя_сервера> |
...
Для проверки доступности компьютеров можно использовать команду ping:
Информацияcommand |
---|
ping kerberos.astradomain.ru |
...
Пакеты сервиса Kerberos входят в стандартные дистрибутивы ОСОН Орёл и ОССН Смоленск, и могут быть установлены с помощью графического менеджера пакетов,
или из командной строки командой
Информацияcommand |
---|
apt install krb5-kdc krb5-admin-server krb5-user |
При установке выдаётся предупреждение о том, что пакет не настроен, которое пока можно проигнорировать.
...
И создадим новую область Kerberos командой:
Информацияcommand |
---|
krb5_newrealm |
При выполнении команды нужно будет ввести и подтвердить пароль администратора, после чего будут автоматически созданы нужные базы данных.
...
После создания принципала admin/admin его можно использовать для администрирования сервера Kerberos с удалённых компьютеров с помощью инструмента командной строки kadmin.
Этот инструмент аналогичен инстрменту kadmin.local, однако рассчитан на удалённое подключение, и требует авторизации пользователя через указание принципала и ввод пароля:
Информацияcommand |
---|
kadmin -p admin/admin |
Настройка DNS для автоматизации подключения клиентов
...
Клиентский пакет Kerberos krb5-user входит в дистрибутивы ОСОН Орёл и ОССН Смоленск, но по умолчанию не устанавливается. Пакет может быть установлен с помощью графического менеджера пакетов,
или из командной строки командой
Информацияcommand |
---|
apt install krb5-user |
При установке пакета krb5-user, кроме самого пакета, автоматически будет установлен пакет krb5-config для настройки клиента
Настройка клиентов
Предупреждение |
---|
Если Kerberos предполагается использовать с контроллером домена Samba AD DC, |
Настройка клиента Kerberos выполняется командой
Информацияcommand |
---|
dpkg-reconfigure krb5-config |
...
После завершения работы программы настройки результат настройки можно проверить получением принципала.
Команда kinit должна выполняться без ошибок:
Информацияcommand |
---|
kinit admin/admin |
Проверить содержимое полученного принципала можно командой
Информацияcommand |
---|
klist |
Настройка авторизации клиентов через Kerberos
Для обеспечения возможности авторизации пользователей через Kerberos требуется дополнительно установить пакет libpam-krb5:
Информацияcommand |
---|
apt install libpam-krb5 |
После установки пакета необходимые модули авторизации будут автоматически добавлены в стек авторизации PAM.
...