Heimdal es una implementación libre de Kerberos 5, que dice ser compatible con MIT krb5 y krb4. Kerberos es un protocolo de autenticación de red. Básicamente, mantiene la integridad de las contraseñas en redes sin confianza (como Internet). Las apicaciones kerberizadas trabajan mano a mano con sitios que soportan Kerberos para asegurar que las contraseñas no sean dañadas. Una instalación Kerberos hará cambios en los mecanismos de autenticación de tu red y sobreescribirá varios programas y demonios de los paquetes Coreutils, Inetutils, Qpopper y Shadow.
Descarga (HTTP): http://ftp.vc-graz.ac.at/mirror/crypto/kerberos/heimdal/heimdal-0.6.2.tar.gz
Descarga (FTP): ftp://ftp.pdc.kth.se/pub/heimdal/src/heimdal-0.6.2.tar.gz
DTamaño del paquete: 3.2 MB
Estimación del espacio necesario en disco: 142 MB
Tiempo estimado de construcción: 2.55 SBU
Parche requerido: http://www.linuxfromscratch.org/patches/blfs/cvs/heimdal-0.6.2-fhs-compliance-1.patch
Parche requerido para cracklib: http://www.linuxfromscratch.org/patches/blfs/cvs/heimdal-0.6.2-cracklib-1.patch
readline-4.3, Linux-PAM-0.77, OpenLDAP-2.1.30, X (X.org-6.7.0 o XFree86-4.4.0), cracklib-2.7 y krb4
Se necesita algún tipo de sincronización de la hora en tu sistema (como NTP-4.2.0) pues Kerberos no autenticará si la diferencia de tiempo entre el cliente kerberizado y el servidor KDC es mayor de 5 minutos.
Antes de instalar el paquete, puede que quieras guardar el programa ftp del paquete Inetutils. Esto es debido a que la utilización del programa ftp de Heimdal para conectar con servidores ftp no kerberizados puede que no funcione correctamente. Te permitirá conectar (indicandote que la contraseña se envia en texto plano) pero tendrá problemas con los envios y recepciones.
mv /usr/bin/ftp /usr/bin/ftpn
Si deseas que el paquete Heimdal se enlace contra la librería cracklib, debes aplicar un parche:
patch -Np1 -i ../heimdal-0.6.2-cracklib-1.patch
Instala Heimdal ejecutando los siguientes comandos:
patch -Np1 -i ../heimdal-0.6.2-fhs-compliance-1.patch &&
./configure --prefix=/usr --sysconfdir=/etc/heimdal \
--datadir=/var/lib/heimdal --libexecdir=/usr/sbin \
--sharedstatedir=/usr/share --localstatedir=/var/lib/heimdal \
--enable-shared --with-openssl=/usr &&
make &&
make install &&
mv /bin/login /bin/login.shadow &&
mv /bin/su /bin/su.coreutils &&
mv /usr/bin/{login,su} /bin &&
ln -sf ../../bin/login /usr/bin &&
mv /usr/lib/lib{otp.so.0,otp.so.0.1.4,kafs.so.0,kafs.so.0.4.0} /lib &&
mv /usr/lib/lib{krb5.so.17,krb5.so.17.3.0,asn1.so.6,asn1.so.6.0.2} /lib &&
mv /usr/lib/lib{roken.so.16,roken.so.16.0.3,crypto.so.0.9.7} /lib &&
mv /usr/lib/lib{com_err.so.2,com_err.so.2.1,db-4.1.so} /lib &&
ln -sf ../../lib/lib{otp.so.0,otp.so.0.1.4,kafs.so.0,kafs.so.0.4.0} /usr/lib &&
ln -sf ../../lib/lib{krb5.so.17,krb5.so.17.3.0,asn1.so.6,asn1.so.6.0.2} /usr/lib &&
ln -sf ../../lib/lib{roken.so.16,roken.so.16.0.3,crypto.so.0.9.7} /usr/lib &&
ln -sf ../../lib/lib{com_err.so.2,com_err.so.2.1,db-4.1.so} /usr/lib &&
ldconfig
--libexecdir=/usr/sbin: Esta opción pone los programas demonio en /usr/sbin.
Si quieres mantener tu demonios existentes del paquete Inetutils, instala los demonios de Heimdal en /usr/sbin/heimdal (o donde prefieras). Puesto que estos programas son invocados desde (x)inetd o guiones rc, en realidad no importa donde residan mientras que se especifiquen correctamente en el fichero /etc/(x)inetd.conf y en los guiones rc Si eliges algo diferente a /usr/sbin, puede que quieras mover algunos de los programas de usuario (como kadmin) a /usr/sbin manuamente.
mv /bin/login /bin/login.shadow
mv /bin/su /bin/su.coreutils
mv /usr/bin/{login,su} /bin
ln -sf ../../bin/login /usr/bin
Los programas login y su instalados por Heimdal pertenecen al directorio /bin. El programa login es enlazado porque Heimdal espera encontralo en /usr/bin. Guardamos los atiguos ejecutables antes de moverlos para asegurarnos en caso de que ocurra algún fallo.
mv /usr/lib/lib{otp.so.0,otp.so.0.1.4,kafs.so.0,kafs.so.0.4.0} /lib
mv /usr/lib/lib{krb5.so.17,krb5.so.17.3.0,asn1.so.6,asn1.so.6.0.2} /lib
mv /usr/lib/lib{roken.so.16,roken.so.16.0.3,crypto.so.0.9.7} /lib
mv /usr/lib/lib{com_err.so.2,com_err.so.2.1,db-4.1.so} /lib
ln -sf ../../lib/lib{otp.so.0,otp.so.0.1.4,kafs.so.0,kafs.so.0.4.0} /usr/lib
ln -sf ../../lib/lib{krb5.so.17,krb5.so.17.3.0,asn1.so.6,asn1.so.6.0.2} /usr/lib
ln -sf ../../lib/lib{roken.so.16,roken.so.16.0.3,crypto.so.0.9.7} /usr/lib
ln -sf ../../lib/lib{com_err.so.2,com_err.so.2.1,db-4.1.so} /usr/lib
Los programas login y su instalados por Heimdal se enlazan contra las librerías de Heimdal así como las librerías crypto y db. Movemos estas librerías a /lib para cumplir el FHS y en caso de que /usr se encuentre en otra partición que no siempre esté montada
Crea el fichero de configuración de Kerberos con el siguiente comando:
install -d /etc/heimdal && cat > /etc/heimdal/krb5.conf << "EOF" # Inicio de /etc/heimdal/krb5.conf [libdefaults] default_realm = [LFS.ORG] encrypt = true [realms] [LFS.ORG] = { kdc = [belgarath.lfs.org] admin_server = [belgarath.lfs.org] kpasswd_server = [belgarath.lfs.org] } [domain_realm] .[lfs.org] = [LFS.ORG] [logging] kdc = FILE:/var/log/kdc.log admin_server = FILE:/var/log/kadmin.log default = FILE:/var/log/krb.log # Fin de /etc/heimdal/krb5.conf EOF
Deberás sustituir belgarath y lfs.org por los nombres de tu dominio y tu máquina.
default_realm debe ser el nombre de tu dominio en MAYUSCULAS. Esto no es imprescindible, pero tanto Heimdal como MIT lo recomiendan.
encrypt = true proporciona encriptación de todo el tráfico entre clientes y servidores kerberizados. No es necesario y puede descartarse. Si lo descartas, puedes encriptar el trafico del cliente al servidor usando en su lugar una opción del programa cliente.
Los parámetros [realms] le indica al cliente donde buscar los servicios de autenticación KDC.
La sección [domain_realm] mapea un dominio a un reino.
Almacena la contraseña maestra en un fichero clave usando los siguientes comandos:
install -d -m 755 /var/lib/heimdal &&
kstash
Crea la base de datos KDC:
kadmin -l
Elige por ahora las opciones por defecto. Puedes volver más tarde para cambiarlas, deberías sentir la necesidad. En el indicador kadmin>, ejecuta la siguiente sentencia:
init [LFS.ORG]
Ahora deberíamos poblar la base de datos con príncipes (usuarios). Por ahora, utiliza simplemente tu nombre de ingreso normal o root.
add [nombre de ingreso]
El servidor KDC y cualquier máquina que esté ejecutando demonios servidor kerberizados debe tener instalada una clave de anfitrión:
add --random-key host/[belgarath.lfs.org]
Tras elegir las opciones por defecto cuando se te pregunte, tendrás que exportar los datos a un fichero de tabla de claves:
ext host/[belgarath.lfs.org]
Esto debería crear dos ficheros en /etc/heimdal; krb5.keytab (Kerberos 5) y srvtab (Kerberos 4). Ambos ficheros deben tener permiso 600 (lectura y escritura solo por root). Proteger los ficheros de tabla de claves del acceso público es crucial parapreservar la seguridad de la instalación de Kerberos.
Eventualmente, querrás añadir príncipes del demonio servidor a la base de datos y extraerlos al fichero de tabla de claves. Harás esto de la misma forma que creaste los príncipes del anfitrión. A continuación un ejemplo:
add --random-key ftp/[belgarath.lfs.org]
(elige las opciones por defecto)
ext ftp/[belgarath.lfs.org]
Sal del programa kadmin (utiliza quit o exit) y regresa al indicador del intérprete de comandos. Inicia manualmente el demonio KDC, sólo para comprobar la instalación:
/usr/sbin/kdc &
Intenta conseguir un TGT (entrada de garantía de entrada) con el siguiente comando:
kinit [nombre de ingreso]
Se te preguntará la contraseña que creaste. Tras conseguir tu entrada, deberías listarla con el siguiente comando:
klist
En pantalla se montrará la información sobre la entrada.
Para comprobar el funcionamiento del fichero de tabla de claves, ejecuta el siguiente comando:
ktutil list
Esto debería volcar un listado de los príncipes del anfitrión, junto con los métodos de encriptación usados para acceder al príncipe.
En este punto, si todo a ido bien, puedes sentirte bastante seguro de la instalación y configuración del paquete.
Instala el gión de inicio /etc/rc.d/init.d/heimdal incluido en el paquete blfs-bootscripts-5.1.
make install-heimdal
Para usar los programas cliente kerberizados (telnet, ftp, rsh, rxterm, rxtelnet, rcp, xnlock), primero debes obtener un TGT. Utiliza el programa kinit para obtener la entrada. Una vez que la hayas adquirido, puedes utilizar los programas kerberizados para conectarte a cualquier servidor kerberizado de la red. No se te preguntará la contraseña hasta que tu entrada expire (un día por defecto). a no ser que tu le especifiques un usuario diferente como argumento en la línea de comandos del programa.
Los programas kerberizados conectarán con demonios no kerberizados, advirtiendote que la autenticación no está encriptada. Como se mencionó antes. sólo el programa ftp tiene problemas conectandose con demonios no keberizados.
Para información adicional, consulta la receta de Heimdal, en la cual están basadas estas instrucciones.
El paquete Heimdal contiene afslog, dump_log, ftp, ftpd, hprop, hpropd, ipropd-master, ipropd-slave, kadmin, kadmind, kauth, kdc, kdestroy, kf, kfd, kgetcred, kinit, klist, kpasswd, kpasswdd, krb5-config, kstash, ktutil, kx, kxd, login, mk_cmds, otp, otpprint, pagsh, pfrom, popper, push, rcp, replay_log, rsh, rshd, rxtelnet, rxterm, string2key, su, telnet, telnetd, tenletxr, truncate_log, verify_krb5_conf, xnlock, libasn1, libeditline, libgssapi, libhdb, libkadm5clnt, libkadm5srv, libkafs, libkrb5, libotp, libroken, libsl y libss.
hprop toma una base de datos principal en un formato especificado y lo convierte a un flujo de entradas de base de datos de Heimdal.
kauth y kinit se usan para autentificar el servidor Kerberos como principal y adquirir una entrada de garantía que puede usarse más tarde para obtener entradas de otros servicios.
kf es un programa que reenvia entradas a servidores remotos a través de un flujo autenticado y encriptado.
krb5-config muestra información sobre cómo enlazar programas con las librerías de Heimdal.
rxtelnet inicia una ventana xterm con un telnet al anfitrión indicado y reenvia conexiones X.