TERA. Настройка Kerberos-аутентификации
Настройка Kerberos-аутентификации
Для основной настройки Kerberos-аутентификации следует:
- проверить наличие установленных пакетов
krb5-user,krb5-config,libpam-sss. Если пакеты не найдены, то установить их:
При установке потребуется указать параметры центра распространения ключей (KDC). Пример:
- «Realm»:
EXAMPLE.COM; - «KDC-сервер»:
kdc.example.com; - «Административный сервер»:
server.example.com.
sudo apt install krb5-user krb5-config libpam-sss
проверить соответствие конфигурационного файла
/etc/krb5.confнастроенной инфраструктуре в организации;
- если Kerberos-аутентификация будет использоваться в сценарии единого входа в доменную гостевую ОС, то убедиться, что выполнены настройки гостевой ОС (см. подраздел Настройка технологии единого входа для Kerberos-аутентификации документа СЛЕТ.10001-01 90 02 «Руководство администратора. Настройка программного комплекса»).
Для дополнительной настройки Kerberos-аутентификации на уровне сети следует:
- убедиться, что выполнена настройка SASL-аутентификации (см. подраздел Настройка SASL-аутентификации);
- убедиться, что конфигурационный файл
/etc/sasl2/host.confприведен к виду:
mech_list: gssapi log_level: 7 keytab: /etc/krb5.keytab service_principal: "*"
После выполнения настройки убедиться, что в модуле PAM используется профиль «SSS authentication» и не используется «Kerberos authentication», для этого выполнить:
sudo pam-auth-update
Настройка профилей PAM