3.6.6. Configurando um Cliente Kerberos 5

3.6.6. Configurando um Cliente Kerberos 5

Configurar um cliente Kerberos 5 é menos complexo que um servidor. No mínimo, deve-se instalar os pacotes de cliente e prover um arquivo de configuração krb5.conf válido para cada cliente. Apesar de se preferir os métodos de instalação remota ssh e slogin para sistemas de clientes, as versões kerberizadas de rsh e rlogin também requerem algumas alterações de configuração.

  1. Ajuste a sincronização de horário entre o cliente Kerberos e o KDC. Consulte a Seção 3.6.5, “Configurando o Servidor Kerberos 5” para mais informações. Além disso, verifique se o DNS está funcionando corretamente no cliente Kerberos antes de configurar os programas do cliente.

  2. Instale os pacotes krb5-libs e krb5-workstation em todas as máquinas cliente. Forneça um arquivo /etc/krb5.conf válido para cada cliente (geralmente este pode ser o mesmo arquivo krb5.conf usado pelo KDC).

  3. Antes que uma estação de trabalho no território possa usar Kerberos para autenticar a conexão de usuários usando ssh ou rsh e rlogin kerberizados, ela deve ter seu principal da host no banco de dados de Kerberos. Os programas de servidores sshd,kshd e klogind também precisam de acesso às chaves para o principal dos serviços da host. Além disso, para usar os serviços rsh e rlogin, esta estação de trabalho deve ter um pacote xinetd instalado.

    Usar kadmin adiciona um principal para a estação de trabalho no KDC. Neste caso, a instância é o nome da máquina (estação de trabalho). Use a opção -randkey para o comando addprinc do kadmin para criar o principal e atribuí-lo com uma chave randômica: 

    addprinc -randkey host/blah.example.com

    Agora que o principal foi criado, as chaves podem ser extraídas para a estação de trabalho executando o kadminna própria estação de trabalho, e usando o comando ktadd no kadmin: 

    ktadd -k /etc/krb5.keytab host/blah.example.com

  4. Para usar outros serviços de rede kerberizados é necessário iniciá-los. Veja abaixo uma lista com alguns dos serviços kerberizados mais comuns e instruções para habilitá-los:

    • O comando OpenSSH ssh — usa a GSS-API para autenticar usuários aos servidores, caso a configuração do client e server tenham o GSSAPIAuthentication habilitado. Se o client também possuir um GSSAPIDelegateCredentials habilitado, as credenciais do usuário serão disponibilizadas no sistema remoto.

    • rsh e rlogin — Para usar as versões kerberizadas do rsh e do rlogin, habilite klogin, eklogin, e kshell.

    • Telnet — Para usar o Telnet kerberizado, o krb5-telnet deve estar habilitado.

    • FTP — Para prover acesso ao FTP, crie e extraia uma chave para o principal com uma raiz de ftp. Certifique-se de definir a instância para o nome da máquina do servidor FTP, e então habilite o gssftp.

    • IMAP — Para usar um servidor IMAP kerberizado, o pacote cyrus-imap usa o Kerberos 5 se o pacote cyrus-sasl-gssapi também estiver instalado. O pacote cyrus-sasl-gssapi contém os plugins do Cyrus SASL os quais oferecem suporte à autenticação usando a GSS-API. O Cyrus IMAP deve funcionar adequadamente com o Kerberos conquanto o usuário cyrus possa encontrar a chave apropriada em /etc/krb5.keytab, e a root (raiz) para o principal esteja configurada para imap (criada com kadmin).

      Uma alternativa para o cyrus-imap pode ser o pacote dovecot, o qual também é incluído no Red Hat Enterprise Linux. Este pacote contém um servidor IMAP mas até o momento não suporta a GSS-API e o Kerberos.

    • CVS — Para usar um servidor CVS kerberizado, o gserver usa um principal com uma raiz (root) cvs e é idêntico ao CVS pserver em todos os outros aspectos.