MIT krb5 es una implementación libre de Kerberos 5. Kerberos es un protocolo de autenticación de red. Centraliza la base de datos de autenticación y usa aplicaciones kerberizadas para trabajar con servidsores o servicios que soporten Kerberos, permitiendo ingresos simples y comunicaciones encriptadas sobre redes internas o Internet.
Descarga (HTTP): http://web.mit.edu/kerberos/www/dist/krb5/1.3/krb5-1.3.3.tar
Tamaño del paquete: 6.2 MB
Estimación del espacio necesario en disco: 137.4 MB
Tiempo estimado de construcción: 2.55 SBU
xinetd-2.3.13 (solo servicios servidores), Linux-PAM-0.77 (para ingrasos basados en xdm) y OpenLDAP-2.1.30 (alternativa para la base de datos de contraseñas krb5kdc)
Se necesita algún tipo de sincronización de la hora en tu sistema (como NTP-4.2.0) pues Kerberos no autenticará si existe una diferencia de tiempo entre el cliente kerberizado y el servidor KDC.
Instala MIT krb5 ejecutando los siguientes comandos:
./configure --prefix=/usr --sysconfdir=/etc \
--localstatedir=/var/lib --enable-dns --enable-shared --mandir=/usr/share/man &&
make &&
make install &&
mv /bin/login /bin/login.shadow &&
cp /usr/sbin/login.krb5 /bin/login &&
mv /usr/bin/ksu /bin &&
mv /usr/lib/libkrb5.so.3* /lib &&
mv /usr/lib/libkrb4.so.2* /lib &&
mv /usr/lib/libdes425.so.3* /lib &&
mv /usr/lib/libk5crypto.so.3* /lib &&
mv /usr/lib/libcom_err.so.3* /lib &&
ln -sf ../../lib/libkrb5.so /usr/lib &&
ln -sf ../../lib/libkrb4.so /usr/lib &&
ln -sf ../../lib/libdes425.so /usr/lib &&
ln -sf ../../lib/libk5crypto.so /usr/lib &&
ln -sf ../../lib/libcom_err.so /usr/lib &&
ldconfig
--enable-dns: Esta opción permite resolver reinos usando el servidor DNS.
mv /bin/login /bin/login.shadow
cp /usr/sbin/login.krb5 /bin/login
mv /usr/bin/ksu /bin
Preserva el comando login de Shadow, mueve ksu y login al directorio /bin.
mv /usr/lib/libkrb5.so.3* /lib
mv /usr/lib/libkrb4.so.2* /lib
mv /usr/lib/libdes425.so.3* /lib
mv /usr/lib/libk5crypto.so.3* /lib
mv /usr/lib/libcom_err.so.3* /lib
ln -sf ../../lib/libkrb5.so /usr/lib
ln -sf ../../lib/libkrb4.so /usr/lib
ln -sf ../../lib/libdes425.so /usr/lib
ln -sf ../../lib/libk5crypto.so /usr/lib
ln -sf ../../lib/libcom_err.so /usr/lib
Los programas login y ksu se enlazan cotra estas librerías, por tanto las movemos a /lib para permitir ingresos sin /usr montado.
Crea el fichero de configuración de Kerberos con los siguientes comandos
cat > /etc/krb5.conf << "EOF" # Inicio de /etc/krb5.conf [libdefaults] default_realm = [LFS.ORG] encrypt = true [realms] [LFS.ORG] = { kdc = [belgarath.lfs.org] admin_server = [belgarath.lfs.org] } [domain_realm] .[lfs.org] = [LFS.ORG] [logging] kdc = SYSLOG[:INFO[:AUTH]] admin_server = SYSLOG[INFO[:AUTH]] default = SYSLOG[[:SYS]] # Fin de /etc/krb5.conf EOF
Deberás sustituir belgarath y lfs.org por los nombres de tu dominio y tu máquina.
default_realm debe ser el nombre de tu dominio en MAYUSCULAS. Esto no es imprescindible, pero tanto Heimdal como MIT lo recomiendan.
encrypt = true proporciona encriptación de todo el tráfico entre clientes y servidores kerberizados. No es necesario y puede descartarse. Si lo descartas, puedes encriptar el trafico del cliente al servidor usando en su lugar una opción del programa cliente.
Los parámetros [realms] le indica al cliente donde buscar los servicios de autenticación KDC.
La sección [domain_realm] mapea un dominio a un reino.
Crea la base de datos KDC:
kdb5_util create -r [LFS.ORG] -s
Ahora deberíamos poblar la base de datos con príncipes (usuarios). Por ahora, utiliza simplemente tu nombre de ingreso normal o root.
kadmin.local kadmin:addprinc [loginname]
El servidor KDC y cualquier máquina que esté ejecutando demonios servidor kerberizados debe tener instalada una clave de anfitrión:
kadmin:addprinc --randkey host/[belgarath.lfs.org]
Tras elegir las opciones por defecto cuando se te pregunte, tendrás que exportar los datos a un fichero de tabla de claves:
kadmin:ktadd host/[belgarath.lfs.org]
Esto debería crear un fichero en /etc de nombre krb5.keytab (Kerberos 5). Este fichero debe tener permiso 600 (lectura y escritura solo por root). Proteger los ficheros de tabla de claves del acceso público es crucial parapreservar la seguridad de la instalación de Kerberos.
Eventualmente, querrás añadir príncipes del demonio servidor a la base de datos y extraerlos al fichero de tabla de claves. Harás esto de la misma forma que creaste los príncipes del anfitrión. A continuación un ejemplo:
kadmin:addprinc --randkey ftp/[belgarath.lfs.org] kadmin:ktadd ftp/[belgarath.lfs.org]
Sal del programa kadmin (utiliza quit o exit) y regresa al indicador del intérprete de comandos. Inicia manualmente el demonio KDC, sólo para comprobar la instalación:
/usr/sbin/krb5kdc &
Intenta conseguir una entrada con el siguiente comando:
kinit [loginname]
Se te preguntará la contraseña que creaste. Tras conseguir tu entrada, puedes listarla con el siguiente comando:
klist
En pantalla se montrará la información sobre la entrada.
Para comprobar el funcionamiento del fichero de tabla de claves, ejecuta el siguiente comando:
ktutil ktutil:rkt /etc/krb5.keytab ktutil:l
Esto debería volcar un listado del anfitrión principal, junto con los métodos de encriptación usados para acceder al principal.
En este punto, si todo a ido bien, puedes sentirte bastante seguro de la instalación y configuración del paquete.
Instala el guión de inicio /etc/rc.d/init.d/kerberos incluido en el paquete blfs-bootscripts-5.1.
make install-heimdal
Para usar los programas cliente kerberizados (telnet, ftp, rsh, rcp, xnlock), primero debes obtener una entrada de autenticación. Utiliza el programa kinit para obtener la entrada. Una vez que la hayas adquirido, puedes utilizar los programas kerberizados para conectarte a cualquier servidor kerberizado de la red. No se te preguntará la contraseña hasta que tu entrada expire (un día por defecto). a no ser que tu le especifiques un usuario diferente como argumento en la línea de comandos del programa.
Los programas kerberizados conectarán con demonios no kerberizados, advirtiendote que la autenticación no está encriptada.
El uso de programas servidores kerberizados (telnetd, kpropd, klogind y kshd) requiere dos pasos adicionales de configuración. Primero, el fichero /etc/services debe actualizarse para incluir eklogin y krb5_prop. Segundo, inetd.conf o xinetd.conf debe modificarse para cada servidor que será activado, normalmente reemplazando al procedente de inetutils.
Para información adicional, consulta la Documentación para krb-1.3.3, en la cual están basadas estas instrucciones.
El paquete MIT krb5 contiene compile-et, ftp, ftpd, gss-client, gss-server, k5srvutil, kadmin, kadmin.local, kadmind, kadmind4, kdb5_util kdestroy, kinit, klist, klogind, kpasswd, kprop, kpropd, krb5-send-pr, krb5-config, krb524d, krb524init, krb5kdc, kshd, ksu, ktutil, kvno, login.krb5, rcp, rlogin, rsh, rshd, rxtelnet, rxterm, sclient, sim_client, sim_server, sserver, telnet, telnetd, uuclient, uuserver, v5passwd, v5passwdd, libcom_err, libdes425, libgssapi, libgssrpc, lib5crypto, libkadm5clnt, libkadm5srv, libkdb5, libkrb4, libkrb5.
compile_et convierte la tabla con la lista de nombres de código de error a un fichero fuente C.
kinit se usa para autentificar el servidor Kerberos como principal y adquirir una entrada de garantía que puede usarse más tarde para obtener entradas de otros servicios.
kprop toma una base de datos principal en un formato especificado y la convierte a un flujo de registros de base de datos de Kerberos.
ksu es el programa de seperusuario usando el protocolo Kerberos. Requiere una configuración adecuada de /etc/shells y ~/.k5login conteniendo los príncipes autorizados a convertirse en superusuarios.