在你转到Kerberos认证前需要满足两个先决条件,首先,所有包括在Kerberos中的计算机的时钟需要与运行KDC的机器进行同步,最简单的方法就是在所有的机器上使用网络时间协议(NTP)来同步。
第二个先决条件很难满足,所有计算机上的账号名、UID和GID都必需一样,这是必需的,因为这些账号变成一个新的与Kerberos账号无关的了,叫做委托人,你不得不仔细检查所有的本地文件/etc/passwd,以及检查这个需求是否满足,如果没有,你需要合并你的账号,如果你想添加windows或Mac OS X客户端到你的Kerberos设备上,你需要考虑那些机器上的所有帐户。
如果你决定使用来自你Linux发行版中的Kerberos程序包,简单地安装它,如果你想自己编译Kerberos发布包,请按照下面的指令做:
创建和安装MIT Kerberos
1) 从资源中列出的URL中选择一个源下载源码包,并获取它的PGP签名,用下面的命令校验包的完整性和准确性:
% gpg --verify krb5-1.3.4.targz.asc
2) 用下面的命令解压源码包
% tar zxvf krb5-1.3.4.tar.gz
3) 进入源码目录
% cd krb5-1.3.4/src
4) 执行
% ./configure –help
这个命令执行结果将告诉你可用的配置选项,/usr/local/是默认的安装位置,如果你需要将软件安装到另外的目录,在下一步使用一个—prefix=/新的目录路径 参数。
5) 在大多数情况下,默认的配置就能工作得很好
% ./configure
6) 用下面的命令编译
% make
我遇到了一个问题,在krb5-1.3.4/src/kadmin/testing/util目录中有个文件有点问题,但可以安全地忽略掉,在本例中,使用%make –i重新启动编译过程
7) 使用下面的命令检查编译的准确性
% make check
8) 如果检查顺利通过,就可以开始安装了
% sudo make install
永远不要用root进行编译,仅当必需的时候才使用root权限,在这些步骤中都一样
9) 现在你将MIT Krb5安装到/usr/local/中了,还需要手动创建一些目录和设置它们的权限
10)
% sudo mkdir -p /usr/local/var/krb5kdc
% sudo chown root /usr/local/var/krb5kdc
% sudo chmod 700 /usr/local/var/krb5kdc
如果你真需要或想编译属于你自己的PAM模块,这里提供一下步骤,首先获取软件包并解压:
% tar zxf pam_krb5-1.3-rc7.tar.gz
% cd pam_krb5-1.3-rc7
首先,你需要在你的$PATH环境变量中设置Kerberos的路径,例如:
% PATH=/usr/local/bin:$PATH
如果你自己已经将其安装到/usr/local中,那么执行:
% ./configure
然后编译和安装该软件包:
% make
% sudo make install
更多内容请看Cisco认证体系专题专题,或进入讨论组讨论。
相关专题
- Cisco认证体系专题 (3179篇文章)
- “艳照门”警钟!编辑教你保护个人隐私 (131次浏览)
- 艳照门启示录:要给电脑“洗澡” (103次浏览)
- 木马程序是如何实现隐藏的 (86次浏览)
- 2008上网必须注意的三大严重安全威胁 (62次浏览)
- 安全性与密码相对强度的暗战 (59次浏览)
- 为系统安全,这些网络端口可以封锁 (56次浏览)
- FCS安装和测试指南——FOREFRONT CLIENT SECU (48次浏览)
- 深入理解及配置ISA Server 2006访问规则 (47次浏览)
- Windows XP隐含超强命令加密系统 (43次浏览)
- 练就金刚不坏之身 让电脑少中点毒的8点忠告 (40次浏览)
