, полученный в результате описанных действий, надо переместить в каталог
/etc
компьютера, на котором выполняется сервер приложений, и присвоить ему имя
krb5.keytab
. Так как файл содержит чрезвычайно важную информацию,
для его копирования надо применять средства, исключающие утечку данных, например перенести файл на дискету или использовать
scp
. Записав файл по месту назначения, надо установить права, позволяющие обращаться к нему только пользователю
root
, и удалить файл с компьютера KDC. Данный файл можно непосредственно создать на том компьютере, на котором установлен сервер приложений. В этом случае при вызове команды
ktadd
не надо указывать опцию
– k gingko.keytab
; система самостоятельно разместит файл в нужном каталоге. Данный метод пригоден, только если средства администрирования установлены и корректно сконфигурированы; кроме того, необходимо, чтобы была правильно выбрана базовая конфигурация Kerberos.
Запуск керберизованных серверов
Как правило, в состав стандартного пакета Kerberos входят керберизованные серверы и локальные средства аутентификации, например, программы, поддерживающие протоколы Telnet и FTP, а также разновидности
shell
,
exec
и
login
. Керберизованные программы надо установить вместо их традиционных аналогов. Так, если в вашей системе используется
Приведенные выше строки заменяют соответствующие записи в составе файла.
Помимо программ, которые распространяются в составе пакета Kerberos, доступны также керберизованные варианты других серверов. Подобные серверы поставляются независимыми производителями. Прежде чем использовать такие продукты, необходимо тщательно изучить документацию и выяснить их возможности и особенности выполнения.
Настройка клиентов Kerberos
Для того чтобы пользователь мог работать с системой Kerberos, надо в первую очередь создать принципала для этого пользователя. Принципалы пользователей имеют вид
имя_пользователя@имя_области
, и для их создания применяются утилиты
kadmin
и
kadmin.local
. После создания принципала пользователь может обращаться к серверам с помощью клиентов, ориентированных на работу в системе Kerberos. Вам, как системному администратору, необходимо установить соответствующие клиентские программы. Пользователям также потребуются утилиты, предназначенные для получения TGT и управления ими. Если вы захотите, чтобы средства Kerberos использовались для управления регистрацией на отдельных рабочих станциях, вам надо модифицировать обычные инструменты регистрации.
Обеспечение доступа к серверам Kerberos
На первый взгляд может показаться, что для обращения к серверам приложений Kerberos достаточно иметь соответствующие клиентские программы. На самом деле ситуация выглядит несколько сложнее. Прежде всего, в процессе обмена участвуют специальные утилиты: пользователь должен иметь возможность получить TGT и при необходимости изменить пароль Kerberos. Кроме того, к самим клиент-программам Kerberos предъявляются специальные требования; без поддержки специфических возможностей клиенты Kerberos превращаются в обычные клиентские программы, не обеспечивающие повышенный уровень защиты.
Использование сетевых утилит Kerberos
В состав пакета Kerberos входят утилиты, предназначенные для управления паролями и билетами Kerberos. Наиболее важные из них перечислены ниже.
•
kinit
. Эта программа получает TGT. Ее действие можно представить себе как "регистрацию" пользователя в области Kerberos; до запуска
kinit
воспользоваться клиентами Kerberos невозможно. При выполнении программа
kinit
обращается к KDC для получения TGT. Как было сказано в начале данной главы, TGT используется керберизованными приложениями для получения разрешения на пользование серверами приложений Kerberos. По умолчанию в качестве основы идентификатора принципала применяется имя пользователя; в этом же идентификаторе указывается имя области, принятое по умолчанию. Если вам необходимо, чтобы использовался другой идентификатор принципала, его надо указать при вызове программы. Соответствующая команда может иметь вид
kinit minerva@PANGAEA.EDU
. Программа
kinit
также поддерживает и другие опции. Подробную информацию о них можно получить, обратившись к страницам справочной системы, посвященным
kinit
.
•
klist
. Данная программа выводит список билетов (в том числе TGT), выданных на текущий момент, а также информацию о сроке их действия. Если программа
kinit
еще не запущена,
klist
не выведет сведений ни об одном билете.
•
kpasswd
. Программа
kpasswd
не имеет отношения к поддержке конкретных сеансов Kerberos; она позволяет изменять пароль принципала в базе данных Kerberos. Эта программа по сути представляет собой аналог
passwd
. Для использования
kpasswd
необходимо иметь TGT.
•
kdestroy
. Данная программа удаляет все билеты из кэша пользователя. Обычно она вызывается перед окончанием сеанса работы в системе или в том случае, если пользователь твердо знает, что в ближайшем будущем он не будет работать с серверами Kerberos. Несмотря на то что билеты автоматически удаляются по истечении срока их действия, рекомендуется после окончания работы с билетами вызывать программу
kdestroy
. Это снизит вероятность того, что злоумышленник сможет обнаружить недостатки в системе защиты и использовать их в своих целях.
Совет
Желательно включать вызов
kdestroy
в состав
.logout
,
.xinitrc
и других стандартных файлов, которые выполняются по окончании сеанса работы пользователя в системе. При использовании модулей РАМ (они будут рассматриваться далее в этой главе)
kdestroy
вызывается автоматически.
Как используются перечисленные выше утилиты на практике? В большинстве случаев программы
kinit
и
kdestroy
вызываются соответственно в начале и в конце сеанса работы. Чтобы определить текущее состояние билетов, можно использовать утилиту
