频道直达 - 专题 - 新闻 - 技巧 - 组网 - 开发 - 安全 - web编程 - 图像 - 操作系统 - 数据库 - 教育 - 旅游 - 健康 - 时尚 - 驱动 - 软件 - 游戏 - 多媒体 - ERP - 讨论组
阅读排行榜 | 收藏此文 | 收藏本站 | 设为首页

使用Kerberos5实现统一认证(一)

来源:51CTO.com 作者:Alf Wachsmann/黄永兵 出处:巧巧读书 2008-04-19 进入讨论组
上一页 1 2 3 4 5 6 下一页 
创建你自己的区域

Kerberos区域是一个管理域,它有它自己的Kerberos数据库,每个Kerberos区域都有它自己的一套Kerberos服务员,你的区域名可以是任何内容,但是它应该映射到你在DNS中的区域,如果新Kerberos区域是为你的整个DNS域example.com准备的,你应该将你的Kerberos区域取一个相同的名字(所有字母大写,这是Kerberos的惯例):EXAMPLE.COM,或者,如果你正在example.com下创建一个新的工程部区域,你应该选项ENG.EXAMPLE.COM作为区域名。

创建你自己的区域的第一步是创建/etc/krb5.conf文件,它包括了所有关于这个区域的必需的信息,每个想访问你新的Kerberos区域的计算机都必需要krb5.conf文件,这里有一个区域EXAMPLE.COM的样本文件,KDC和管理服务器都运行在机器kdc.example.com上:

[libdefaults]
    # determines your default realm name
    default_realm = EXAMPLE.COM

[realms]
    EXAMPLE.COM = {
        # specifies where the servers are and on
        # which ports they listen (88 and 749 are
        # the standard ports)
        kdc = kdc.example.com:88
        admin_server = kdc.example.com:749
    }

[domain_realm]
    # maps your DNS domain name to your Kerberos
    # realm name
    .example.com = EXAMPLE.COM

[logging]
    # determines where each service should write its
    # logging info
    kdc = SYSLOG:INFO:DAEMON
    admin_server = SYSLOG:INFO:DAEMON
default = SYSLOG:INFO:DAEMON

下一个文件是/usr/local/var/krb5kdc/kdc.conf,KDC服务器的配置文件,只有运行了KDC后台服务的计算机才需要这个文件,每个条目都有一个合理的默认值,创建一个空文件应该满足大多数情况:

% sudo touch /usr/local/var/krb5kdc/kdc.conf

下面的命令应该在你的KDC计算机上执行:
% sudo /usr/local/sbin/kdb5_util create –s

为新区域创建一个初始化Kerberos数据库,它要求你提供新区域数据库管理密码,并将其存储在文件/usr/local/var/krb5kdc/.k5.EXAMPLE.COM中,这个命令也创建了第一套委托人在你的Kerberos 5 帐户数据库中,你可以使用下面的命令列出它们:

% sudo /usr/local/sbin/kadmin.local

然后在kadmin.local提示符处输入listprincs,打印出一个列表:

K/M@EXAMPLE.COM
kadmin/admin@EXAMPLE.COM
kadmin/changepw@EXAMPLE.COM
kadmin/history@EXAMPLE.COM
krbtgt/EXAMPLE.COM@EXAMPLE.COM
在这时候,我们没有准备好使用远程的kadmin工具。

在你新的区域下开始创建任何委托人之前,你应该定义一个策略,由它来决定如何处理密码:

kadmin.local:  add_policy -maxlife 180days -minlife
?2days -minlength 8 -minclasses 3
?-history 10 default

这个输入为我们从现在开始创建的委托人定义了默认的策略,它确定了密码的最长有效期是180天,最小是2天;密码最小长度是8个字符,这些字符必须来自5个可用类型中3个不同的类型:小写字母、大写字母、数字、标点符号和其他,保留最后10个密码的历史以便重新使用。如果你想用字典检查密码,象下面这样添加一个dict_file定义:

[realms]
    EXAMPLE.COM = {
        dict_file = /usr/share/dict/words
}

到你的kdc.conf文件中。
现在你就准备好给你自己创建一个管理委托人了:

kadmin.local: addprinc john/admin

调整名字为你的账号名,但保留/admin。然后它将要求你为这个委托人输入两次新密码。你可以用下面的命令来查看新账号:

kadmin.local:  getprinc john/admin

更多文章 更多内容请看Cisco认证体系专题专题,或进入讨论组讨论。
更多专题 【深 度 阅 读】 相 关 文 章
上一页 1 2 3 4 5 6 下一页 
收藏此文】【 】【打印】【关闭
较早的文章:使用Kerberos实现统一认证(二)

较新的文章:ISA Server实验环境搭建与企业VPN配置
相关图文阅读
频道图文推荐
健 康 咨 询
时 尚 咨 询
巧巧读书宗旨
相关专题
更多排行>>
讨论组问题推荐
站内各频道最新更新文档
站内最新制作专题
热门关键字导读
Photoshop教 程照片处理 照片制作 PS快捷键 抠图
计 算 机 故 障XP系统修复
艺 术 与 设 计设计 流媒体 设计欣赏 边框
计 算 机 安 全ARP
站内频道文章精选
新闻资讯
操作系统
桌面开发
数据库
电脑技巧
常用软件
网络程序开发
图像处理
巧巧电脑频道编辑信箱  告诉我们您想看的专题或文章