配置 Kerberos 网络应用服务器

网络应用服务器是使用以下一个或多个网络应用程序提供访问的主机：ftp、rcp、rlogin、rsh、ssh 和 telnet。要在服务器上启用这些命令的 Kerberos 版本，只需执行几个步骤。

如何配置 Kerberos 网络应用服务器

此过程使用以下配置参数：

• 应用服务器 =boston

• admin 主体 = kws/admin

• DNS 域名 = example.com

• 领域名称 = EXAMPLE.COM

开始之前

此过程要求已配置主 KDC 服务器。要完全测试该过程，必须配置多个 Kerberos 客户机。

1. 成为服务器上的超级用户。
2. 可选安装 NTP 客户机或其他时钟同步机制。

   有关 NTP 的信息，请参见同步 KDC 与 Kerberos 客户机的时钟。

3. 为新服务器添加主体并更新该服务器的密钥表文件。

   以下命令报告是否存在主机主体：

   boston # klist -k |grep host
   4 host/boston.example.com@EXAMPLE.COM
   4 host/boston.example.com@EXAMPLE.COM
   4 host/boston.example.com@EXAMPLE.COM
   4 host/boston.example.com@EXAMPLE.COM

   如果此命令未返回主体，请执行以下步骤创建新主体。

   有关如何使用 GUI Kerberos 管理工具添加主体的说明，请参见如何创建新的 Kerberos 主体。以下步骤中的示例说明如何使用命令行添加所需的主体。必须使用在配置主 KDC 服务器时创建的一个 admin 主体名称登录。

   boston # /usr/sbin/kadmin -p kws/admin
   Enter password: <Type kws/admin password>
   kadmin: 

   1. 创建服务器的 host 主体。

      按照下列方法使用 host 主体：

      • 使用远程命令时（如 rsh 和 ssh）时验证通信。

      • 供 pam_krb5 防止 KDC 欺骗攻击，以确认用户的 Kerberos 凭证是从可信 KDC 获取的。

      • 允许 root 用户在不要求存在 root 主体的情况下，自动获取 Kerberos 凭证。在执行手动 NFS 挂载时，若共享需要使用 Kerberos 凭证，此功能很有用。

      如果要使用 Kerberos 服务验证使用远程应用程序的通信，则需要该主体。如果服务器有多个与之关联的主机名，则应使用主机名的 FQDN 格式为每个主机名创建一个主体。

      kadmin: addprinc -randkey host/boston.example.com
      Principal "host/boston.example.com" created.
      kadmin: 

   2. 将服务器的 host 主体添加到服务器的密钥表文件中。

      如果没有运行 kadmin 命令，请使用以下类似语法重新启动该命令：/usr/sbin/kadmin -p kws/admin

      如果服务器有多个与之相关的主机名，请为每个主机名向密钥表添加一个主体。

      kadmin: ktadd host/boston.example.com
      Entry for principal host/boston.example.com with kvno 3, encryption type AES-256 CTS mode
                with 96-bit SHA-1 HMAC added to keytab WRFILE:/etc/krb5/krb5.keytab.
      Entry for principal host/boston.example.com with kvno 3, encryption type AES-128 CTS mode
                with 96-bit SHA-1 HMAC added to keytab WRFILE:/etc/krb5/krb5.keytab.
      Entry for principal host/boston.example.com with kvno 3, encryption type Triple DES cbc
                mode with HMAC/sha1 added to keytab WRFILE:/etc/krb5/krb5.keytab.
      Entry for principal host/boston.example.com with kvno 3, encryption type ArcFour
                with HMAC/md5 added to keytab WRFILE:/etc/krb5/krb5.keytab.
      Entry for principal host/boston.example.com with kvno 3, encryption type DES cbc mode
                with RSA-MD5 added to keytab WRFILE:/etc/krb5/krb5.keytab.
      kadmin:

   3. 退出 kadmin。

      kadmin: quit

运行 FTP 时如何使用带有 Kerberos 的通用安全服务

可将通用安全服务 (generic security service, GSS) 应用于应用程序中，以轻松使用 Kerberos 实现验证、完整性和保密性。以下步骤显示如何为 ProFTPD 启用 GSS。

1. 成为 FTP 服务器上的超级用户。
2. 为 FTP 服务器添加主体并更新该服务器的密钥表文件。

   如果您之前执行过更改，可能无需执行下列步骤。

   1. 启动 kadmin 命令。

      ftpserver1 # /usr/sbin/kadmin -p kws/admin
      Enter password: <Type kws/admin password>
      kadmin: 

   2. 为 FTP 服务器添加 host 服务主体。

      kadmin: addprinc -randkey host/ftpserver1.example.com 

   3. 将 host 服务主体添加到服务器的 keytab 文件中。

      kadmin: ktadd host/ftpserver1.example.com 

3. 为 FTP 服务器启用 GSS。

   对 /etc/proftpd.conf 文件执行下列更改。

   # cat /etc/proftpd.conf
   #User          ftp
   #Group         ftp
   
   User root
   Group root
   
   UseIPv6 off
   
   LoadModule mod_gss.c
   
   GSSEngine on
   GSSKeytab /etc/krb5/krb5.keytab

4. 重新启动 FTP 服务器。

   # svcadm restart network/ftp