Product SiteDocumentation Site

2.6.6. Configuración de un Cliente Kerberos 5

Configurar un cliente de Kerberos 5 es menos complicado que configurar un servidor. Como mínimo, instale los paquetes del cliente y otórguele a cada cliente un archivo de configuración krb5.conf válido. Mientras que ssh y slogin son los métodos preferidos para loguearse remotamente en sistemas cliente, las versiones Kerberizadas de rsh y rlogin siguen estando disponibles, aunque para habilitarlas es necesario realizar algunos cambios adicionales en la configuración.
  1. Asegúrese que la sincronización del tiempo existe entre el cliente Kerberos y KDC. Vaya a Sección 2.6.5, “Configurando un servidor Kerberos 5” para más información. Además, verifique que el DNS está funcionando apropiadamente en el cliente Kerberos antes de continuar con los programas cliente de Kerberos.
  2. Instale los paquetes krb5-libs y krb5-workstation en todas las máquinas clientes. Provea un archivo /etc/krb5.conf válido para cada cliente (normalmente este puede ser el mismo archivo krb5.conf usado por el KDC).
  3. Antes que una estación de trabajo del reinado pueda utilizar a Kerberos para autenticar los usuarios que se conectan mediante ssh, o mediante los rsh o rlogin Kerberizados, debe tener su propio equipo principal en la base de datos de Kerberos. Los programas de servidor sshd, kshd, y klogind, necesitan todos acceder a las llaves para los servicios del host principal. Además, para poder utilizar los servicios kerberizados rsh y rlogin, esa estación de trabajo debe tener el paquete xinetd instalado.
    Al utilizar kadmin se agrega un principal de equipo para la estación de trabajo en el KDC. En este caso, la instancia es el nombre del equipo de la estación de trabajo. Utilice la opción -randkey para el comando addprinc de kadmin, para crear el principal y asignarle una llave en forma azarosa: 
    addprinc -randkey host/bla.ejemplo.com
    Ahora que se ha creado el principal, las claves se pueden extraer para la estación trabajo ejecutando kadmin en la misma estación de trabajo y usando el comando ktadd dentro de kadmin: 
    ktadd -k /etc/krb5.keytab host/bla.ejemplo.com
  4. Para usar otros servicios de red kerberizados, primero deben iniciarse. A continuación mostramos una lista de los servicios kerberizados comunes y las instrucciones acerca de cómo habilitarlos:
    • ssh — OpenSSH usa GSS-API para autenticar los usuarios en los servidores si la configuración del cliente y del servidor tienen ambas GSSAPIAuthentication habilitado. Si el cliente tiene también GSSAPIDelegateCredentials habilitado, las credenciales del usuario se hacen disponibles en el sistema remoto.
    • rsh y rlogin — Para usar las versiones kerberizadas de rsh y rlogin, habilite klogin, eklogin y kshell.
    • Telnet — Para usar Telnet kerberizado, debe habilitar krb5-telnet.
    • FTP — Para proveer acceso FTP, crear y extraer una clave para el principal con una raíz de ftp. Asegúrese de poner la instancia al nombre de equipo completo del servidor FTP, luego habilite gssftp.
    • IMAP — Para utilizar un servidor kerberizado IMAP, el paquete cyrus-imap utilizará Kerberos 5, si también se encuentra instalado el paquete cyrus-sasl-gssapi. El paquete cyrus-sasl-gssapi contiene el complemento Cyrus SASL que tiene soporte para autenticación GSS-API. Cyrus IMAP debería funcionar correctamente con Kerberos siempre y cuando el usuario cyrus sea capaz de encontrar la clave correspondiente en /etc/krb5.keytab, y que la raíz para el principal esté definida para imap (creada con kadmin).
      Una alternativa a cyrus-imap se puede encontrar en el paquete dovecot, que también se incluye en Fedora. Este paquete contiene un servidor IMAP pero no da soporte a GSS-API y Kerberos por el momento.
    • CVS — Para usar un servidor CVS kerberizado, gserver usa un principal con una raíz de cvs y por lo demás es idéntico al servidor CVS pserver.