cs:navody:kerberos:start

Kerberos

Nainstalujte si podporu systému Kerberos. V distribuci Ubuntu se jedná o balíky krb5-user a krb5-config, v OpenSuse o balíky krb5 a krb5-client, v CentOS 6 o balíky krb5-workstation. Při instalaci můžete být dotázáni na REALM a kdc servery, obě pole nechte prázdná, konfiguraci opravíte stažením správné verze souboru krb5.conf od nás. Pokud bude nutné něco vyplnit (systém nedovolí odklepnout prázdnou položku) jako REALM vyplňte EINFRA a jako kdc server vyplňte kdc1.cesnet.cz. Je nutné správně nastavit soubor /etc/krb5.conf, nejjednodušší je zkopírovat z této stránky.

Pokud chcete používat vlastní soubor a máte MIT kerberos >1.4 nebo Heimdal >1.3 přidejte do sekce [libdefaults] v krb5.conf volbu allow_weak_crypto = true. Zároveň je nutné nastavit KDC servery pro realm EINFRA a kvůli NFS nastavit default realm na EINFRA.

U správně provedené instalace pak dokážete příkazem kinit získat kerberovský lístek a příkazem klist si ho vypsat.

$ kinit user@EINFRA
Password for user@EINFRA: 
$ klist
Ticket cache: FILE:/tmp/krb5cc_1000
Default principal: user@EINFRA

Valid starting    Expires           Service principal
27/06/2012 13:52  28/06/2012 13:52  krbtgt/EINFRA@EINFRA
$

Trvanlivost Kerberos lístku

Kerberos lístky mají omezenou dobu platnosti. Standardní doba platnosti je 1 den. Po jednom dnu je potřeba vygenerovat nový lístek (opět kinit).

Lístky lze vytvářet i tzv. obnovitelné pomocí kinit -r pocet_dnu. Takový lístek lze pak obnovit příkazem kinit -R (a nebudete vyzváni k opětovnému zadání hesla). kinit -R lze použít nejvýše po dobu pocet_dnu, pak je již nutné vyrobit nový lístek. Pocet_dnu je standardně omezen maximálně na 8.

Poslední úprava: 10.11.2015 13:34