Михаил Кондрин

Мы изучили принципы работы Kerberos и взглянули на него с пользовательской точки зрения [1]. Теперь перейдем к практической части и начнем развертывать инфраструктуру Kerberos в локальной сети.

Устанавливаем контроллер Kerberos

Начнем установку сервера Heimdal на компьютере с ОС Linux. Если Heimdal не включен в состав вашего дистрибутива, то вы можете получить исходный код Heimdal с ftp-сервера Стокгольмского университета (ftp://ftp.pdc.kth.se/pub/heimdal/src), сконфигурировать и скомпилировать его.

tar xzvf heimdal-0.6.3.tar.gz

cd heimdal-0.6.3

./configure --prefix=/usr --enable-shared

make

make install

Опции конфигурации позволяют вам собрать Heimdal в виде разделяемых библиотек, что в дальнейшем упрощает сборку программ с поддержкой Kerberos, и установить Heimdal в каталог /usr. При этом пользовательские программы (kinit, klist, telnet и т. д.) записываются в каталог /usr/bin, программы для удаленного администрирования контроллера Kerberos – в /usr/sbin, а серверная часть Kerberos – в /usr/libexec.

Если предполагаемое число принципалов невелико (например, порядка сотни), то Heimdal не требует особенно большого количества вычислительных ресурсов. В моем случае в качестве kdc используется 486 компьютер. Желательно тем не менее держать базу данных Kerberos на специально выделенном для этой цели компьютере, т.к. захват злоумышленником этого сервера полностью компрометирует безопасность всей системы.

После того как компьютер выбран, на нем нужно создать каталог для хранения баз данных Kerberos.

mkdir /var/heimdal

chmod 600 /var/heimdal

Далее нужно проделать две вещи: создать конфигурационный файл kdc и инициализировать (заселить несколькими основными принципалами) базу данных Kerberos. Конфигурационный файл (/etc/krb5.conf) используется как сервером Kerberos, так и приложениями, собранными с поддержкой Kerberos. Поэтому этот файл (практически без изменений) можно перенести на все компьютеры, входящие в ваш сектор (будем считать, что его доменное имя myreal.ru).