krb5安装与配置.doc

kerberos的安装配置krb5-1.6.3.tar.gz 编译软件 将krb5-1.6.3.tar.gz 使用ftp传输到linux机器。使用root用户； 解压缩，执行configure和make $ tar zxvf krb5-1.6.3.tar.gz $cd krb5-1.6.3 $./configure $make $make install 缺省的将kerberos安装在/usr/local目录下；主要包括/usr/local/sbin、/usr/local/bin、/usr/local/man、/usr/local/lib等目录。 系统路径和IP地址及域名设置 用户路径设置 系统中原有kerberos程序，安装在/usr/kerberos下。 在用户krb下设置路径 修改编辑文件.bash_profile PATH=/usr/local/sbin:/usr/local/bin:$PATH export PATH 保证系统执行命令，首先执行/usr/local/sbin目录的kerberos相关命令； IP地址和域名设置 系统缺省域名为EXAMPLE.COM；在/etc/hosts文件中，设置相关名称； 01 kerberos 01 kdc 保证和都能够被ping通； ping ping kdc配置 /etc/krb5.conf文件的设置和含义 　　Kerberos区域是一个管理域，它有它自己的Kerberos数据库，每个Kerberos区域都有它自己的一套Kerberos服务员，你的区域名可以是任何内容，但是它应该映射到你在DNS中的区域，如果新Kerberos区域是为你的整个DNS域准备的，你应该将你的Kerberos区域取一个相同的名字（所有字母大写，这是Kerberos的惯例）：EXAMPLE.COM，或者，如果你正在下创建一个新的工程部区域，你应该选项ENG.EXAMPLE.COM作为区域名。 创建你自己的区域的第一步是创建/etc/krb5.conf文件，它包括了所有关于这个区域的必需的信息，每个想访问你新的Kerberos区域的计算机都必需要krb5.conf文件，这里有一个区域EXAMPLE.COM的样本文件，KDC和管理服务器都运行在机器上：[logging] default = FILE:/var/log/krb5libs.log kdc = FILE:/var/log/krb5kdc.log admin_server = FILE:/var/log/kadmind.log [libdefaults] default_realm = EXAMPLE.COM dns_lookup_realm = false dns_lookup_kdc = false ticket_lifetime = 24h forwardable = yes [realms] EXAMPLE.COM = { kdc = :88 admin_server = :749 default_domain = } [domain_realm] . = EXAMPLE.COM = EXAMPLE.COM [kdc] profile = /usr/local/var/krb5kdc/kdc.conf [appdefaults] pam = { debug = false ticket_lifetime = 36000 renew_lifetime = 36000 forwardable = true krb4_convert = false } kdc.conf文件的设置 [kdc] profile = /usr/local/var/krb5kdc/kdc.conf 根据该文件的指示方向，使用root用户在/usr/local目录下。 创建var目录，在var目录下，创建krb5kdc目录 #mkdir /usr/local/var # mkdir /usr/local/var/krb5kdc #cp /var/kerberos/krb5kdc/kdc.conf /usr/local/var/krb5kdc/. #vi /usr/local/var/krb5kdc/kdc.conf 修改相关配置如下： [kdcdefaults] acl_file = /usr/local/var/krb5kdc/kadm5.acl dict_file = /usr/share/dict/words admin_keytab = /usr/local/var/krb5kdc/kadm5.keytab v4_mode = noprea