它在屏幕上打印出类似下面的内容:
Principal: john/admin@EXAMPLE.COM Expiration date: [never] Last password change: Wed Dec 24 09:55:17 PST 2003 Password expiration date: Mon Jun 21 10:55:17 PDT 2004 Maximum ticket life: 1 day 00:00:00 Maximum renewable life: 0 days 00:00:00 Last modified: Wed Dec 24 09:55:17 PST 2003 (root/admin@EXAMPLE.COM) Last successful authentication: [never] Last failed authentication: [never] Failed password attempts: 0 Number of keys: 2 Key: vno 1, Triple DES cbc mode with HMAC/sha1, no salt Key: vno 1, DES cbc mode with CRC-32, no salt Attributes: Policy: default |
输入quit退出kadmin.local程序,用下面的命令启动KDC后台服务:
% sudo /usr/local/sbin/krb5kdc
输入下面的目录获取一个Kerberos 5 TGT:
% /usr/local/bin/kinit john/admin@EXAMPLE.COM
用下面的命令查看你的TGT:
% /usr/local/bin/klist Ticket cache: FILE:/tmp/krb5cc_5828 Default principal: john/admin@EXAMPLE.COM Valid starting Expires Service principal 12/23/03 14:15:39 12/24/03 14:15:39 krbtgt/EXAMPLE.COM@EXAMPLE.COM |
祝贺你!你刚好完成你的第一次成功的Kerberos认证。现在你应该给这个管理账号指定权限了,它由文件/usr/local/var/krb5kdc/kadm5.acl中的条目决定。你可以给john/admin授予管理所有委托人的权限,通过添加下面这样一行到/usr/local/var/krb5kdc/kadm5.acl中,并使用通配符实现:
john/admin@EXAMPLE.COM *
在你能通过网络启动管理后台服务(kadmind)之前,你需要创建一个包含密钥的keytab文件:
kadmin.local: ktadd -k /usr/local/var/krb5kdc/
?kadm5.keytab kadmin/changepw
现在为Kerberos管理后台服务的事情都准备好了,可以启动它了:
% sudo /usr/local/sbin/kadmind
这个后台服务允许你使用kadmin客户端工具远程管理你的Kerberos委托人,而不需要登陆到你的KDC,如果你想让你的Kerberos后台服务随系统启动而启动,将它们添加到你KDC中的/etc/rc文件中。
使用前面获取到的Kerberos TGT,启动远程管理工具:
% /usr/local/sbin/kadmin Authenticating as principal john/admin@EXAMPLE.COM with password. Password for john/admin@EXAMPLE.COM: |
添加新账号
新账号仍然需要添加到你的shadow文件或你的密码映射中,无论如何,不要将密码放入这些位置,你要创建一个新的Kerberos委托人并将它的密码存储在KDC中。
使用kadmin工具:
% /usr/local/sbin/kadmin
用下面的命令给常规用户添加一个委托人:
kadmin: addprinc john NOTICE: no policy specified for john@EXAMPLE.COM; assigning "default" Enter password for principal "john@EXAMPLE.COM": Re-enter password for principal "john@EXAMPLE.COM": Principal "john@EXAMPLE.COM" created. |
创建委托人过程中输入的密码在john获取Kerberos TGT时需要或登陆到一个被配置成使用你的Kerberos 5区域的计算机时需要。现在你可以手工给你所有的账号创建委托人或使用下一小节将要介绍的迁移技术。
添加从KDC
如果你计划在你站点上的产品中使用Kerberos,你应该使用额外的从KDC来为你的安装提供故障容错功能。主KDC需要安装一个额外的传播服务,由它来发送KDC数据库版本更新到所有的从KDC服务器,从服务器需要为传播服务安装一个接收终端,请查看MIT文档。
更多内容请看Cisco认证体系专题专题,或进入讨论组讨论。
相关专题
- Cisco认证体系专题 (3179篇文章)
- “艳照门”警钟!编辑教你保护个人隐私 (131次浏览)
- 艳照门启示录:要给电脑“洗澡” (103次浏览)
- 木马程序是如何实现隐藏的 (86次浏览)
- 2008上网必须注意的三大严重安全威胁 (62次浏览)
- 安全性与密码相对强度的暗战 (59次浏览)
- 为系统安全,这些网络端口可以封锁 (56次浏览)
- FCS安装和测试指南——FOREFRONT CLIENT SECU (48次浏览)
- 深入理解及配置ISA Server 2006访问规则 (47次浏览)
- Windows XP隐含超强命令加密系统 (43次浏览)
- 练就金刚不坏之身 让电脑少中点毒的8点忠告 (40次浏览)
