Il est moins complexe de configurer un client Kerberos 5 qu'un serveur. Vous devez au minimum installer les paquetages clients et fournir à vos clients un fichier de configuration krb5.conf valide. Les versions "kerbérisées" de rsh et rlogin nécessiteront également des changements au niveau de la configuration.
Assurez-vous que la synchronisation de l'heure est effective entre le client Kerberos et le KDC. Reportez-vous à la section intitulée Configurer un serveur Kerberos 5 afin d'obtenir davantage d'informations. DNS doit également fonctionner correctement sur le client Kerberos avant d'installer les programmes de ce client.
Installez les paquetages krb5-libs et krb5-workstation sur tous les clients de votre zone. Vous devez fournir votre propre version de /etc/krb5.conf pour les stations de travail de vos clients ; cela peut généralement être le même krb5.conf que celui utilisé par le KDC.
Avant qu'une station de travail donnée de votre zone puisse permettre aux utilisateurs de se connecter à l'aide des commandes rsh et rlogin "kerbérisées", le paquetage xinetd devra y être installé et l'élément principal de l'hôte propre à la station devra être présent dans la base de données Kerberos. Les programmes de serveur kshd et klogind auront également besoin d'un accès aux clés pour l'élément principal de leur service.
A l'aide de kadmin, ajoutez un élément principal d'hôte pour la station de travail. L'instance sera dans ce cas le nom d'hôte de la station. Parce que vous n'aurez jamais besoin de taper à nouveau le mot de passe pour cet élément principal, vous ne voudrez probablement pas perdre de temps à chercher un bon mot de passe. Vous pouvez utiliser l'option -randkey de la commande addprinc de kadmin afin de créer l'élément principal et de lui attribuer une clé aléatoire :
addprinc -randkey host/blah.exemple.com |
Maintenant que vous avez créé l'élément principal, vous pouvez extraire les clés de la station de travail en exécutant kadmin sur la station de travail elle-même et utiliser la commande ktadd dans kadmin :
ktadd -k /etc/krb5.keytab host/blah.exemple.com |
Afin d'utiliser les versions "kerbérisées" de rsh et de rlogin, vous devez activer klogin, eklogin et kshell. [1]
D'autres services de réseau "kerbérisés" devront être lancés. Pour utiliser la commande telnet kerbérisée, vous devez activer krb5-telnet. [1]
Afin de fournir un accès FTP, créez puis extrayez une clé pour un élément principal avec un root de ftp, l'instance étant configurée au nom d'hôte du serveur ftp. Activez ensuite gssftp. [1]
Le serveur IMAP inclus dans le paquetage imap utilisera l'authentification GSS-API à l'aide de Kerberos 5 s'il parvient à trouver la clé appropriée dans /etc/krb5.keytab. Le root de l'élément principal doit être imap. Le gserveur CVS utilise un élément principal avec un root de cvs et est en dehors de cela identique à un pserver.
Ceci devrait couvrir toutes les informations dont vous avez besoin pour configurer une zone Kerberos simple.
| [1] | Reportez-vous au chapitre intitulé Contrôle de l'accès aux services dans le Guide de personnalisation officiel Red Hat Linux afin d'obtenir des détails sur l'activation des services. |
| Précédent | Sommaire | Suivant |
| Configurer un serveur Kerberos 5 | Niveau supérieur | Autres ressources |