Heimdal es una implementación libre de Kerberos 5, que dice ser compatible con MIT krb5 y krb4. Kerberos es un protocolo de autenticación de red. Básicamente, mantiene la integridad de las contraseñas en redes sin confianza (como Internet). Las apicaciones kerberizadas trabajan mano a mano con sitios que soportan Kerberos para asegurar que las contraseñas no sean dañadas. Una instalación Kerberos hará cambios en los mecanismos de autenticación de tu red y sobreescribirá varios programas y demonios de los paquetes Coreutils, Inetutils, Qpopper y Shadow.
Descarga (HTTP): http://ftp.vc-graz.ac.at/mirror/crypto/kerberos/heimdal/heimdal-0.6.3.tar.gz
Descarga (FTP): ftp://ftp.pdc.kth.se/pub/heimdal/src/heimdal-0.6.3.tar.gz
Suma MD5 del paquete: 2265fd2d4573dd3a8da45ce62519e48b
DTamaño del paquete: 3.3 MB
Estimación del espacio necesario en disco: 70 MB
Tiempo estimado de construcción: 2.18 SBU
Parche requerido: http://www.linuxfromscratch.org/blfs/downloads/6.0/heimdal-0.6.3-fhs-compliance-1.patch
Parche requerido para cracklib: http://www.linuxfromscratch.org/blfs/downloads/6.0/heimdal-0.6.3-cracklib-1.patch
Linux-PAM-0.78, OpenLDAP-2.2.20, X (X.org-6.8.2 o XFree86-4.4.0), cracklib-2.7 y krb4
Se necesita algún tipo de sincronización de la hora en tu sistema (como NTP-4.2.0) pues Kerberos no autenticará si la diferencia de tiempo entre el cliente kerberizado y el servidor KDC es mayor de 5 minutos.
Antes de instalar el paquete, puede que quieras guardar el programa ftp del paquete Inetutils. Esto es debido a que la utilización del programa ftp de Heimdal para conectar con servidores ftp no kerberizados puede que no funcione correctamente. Te permitirá conectar (indicandote que la contraseña se envia en texto plano) pero tendrá problemas con los envios y recepciones.
mv /usr/bin/ftp /usr/bin/ftpn
Si deseas que el paquete Heimdal se enlace contra la librería cracklib, debes aplicar un parche:
patch -Np1 -i ../heimdal-0.6.3-cracklib-1.patch
Instala Heimdal ejecutando los siguientes comandos:
patch -Np1 -i ../heimdal-0.6.3-fhs_compliance-1.patch &&
./configure --prefix=/usr --sysconfdir=/etc/heimdal \
--datadir=/var/lib/heimdal --localstatedir=/var/lib/heimdal \
--libexecdir=/usr/sbin --enable-shared \
--with-openssl=/usr --with-readline=/usr &&
make
Ahora, como usuario root:
make install &&
mv /bin/login /bin/login.shadow &&
mv /bin/su /bin/su.shadow &&
mv /usr/bin/{login,su} /bin &&
ln -sf ../../bin/login /usr/bin &&
mv /usr/lib/lib{otp.so.0*,kafs.so.0*,krb5.so.17*,asn1.so.6*} \
/usr/lib/lib{roken.so.16*,crypto.so.0*,db-4.3.so} /lib &&
ln -sf ../../lib/lib{otp.so.0{,.1.4},kafs.so.0{,.4.0},db-4.3.so} \
/usr/lib &&
ln -sf ../../lib/lib{krb5.so.17{,.3.0},asn1.so.6{,.0.2}} \
/usr/lib &&
ln -sf ../../lib/lib{roken.so.16{,.0.3},crypto.so.0{,.9.7}} \
/usr/lib &&
ldconfig
--libexecdir=/usr/sbin: Esta opción pone los programas demonio en /usr/sbin.
Si quieres mantener tu demonios existentes del paquete Inetutils, instala los demonios de Heimdal en /usr/sbin/heimdal (o donde prefieras). Puesto que estos programas son invocados desde (x)inetd o guiones rc, en realidad no importa donde residan mientras que se especifiquen correctamente en el fichero /etc/(x)inetd.conf y en los guiones rc Si eliges algo diferente a /usr/sbin, puede que quieras mover algunos de los programas de usuario (como kadmin) a /usr/sbin manuamente.
mv ... .shadow; mv ... /bin; ln -sf ../../bin...: Los programas login y su instalados por Heimdal pertenecen al directorio /bin. El programa login es enlazado porque Heimdal espera encontralo en /usr/bin. Guardamos los atiguos ejecutables antes de moverlos para asegurarnos en caso de que ocurra algún fallo.
mv ... /lib; ln -sf ../../lib/lib... /usr/lib: Los programas login y su instalados por Heimdal se enlazan contra las librerías de Heimdal así como contra las librerías proporcionadas por los paquetes OpenSSL y Berkeley DB. Movemos estas librerías a /lib para cumplir el FHS y en caso de que /usr se encuentre en otra partición que no siempre esté montada.
Crea el fichero de configuración de Kerberos con el siguiente comando:
install -d /etc/heimdal && cat > /etc/heimdal/krb5.conf << "EOF" # Inicio de /etc/heimdal/krb5.conf [libdefaults] default_realm = [EXAMPLE.COM] encrypt = true [realms] [EXAMPLE.COM] = { kdc = [hostname.example.com] admin_server = [hostname.example.com] kpasswd_server = [hostname.example.com] } [domain_realm] .[example.com] = [EXAMPLE.COM] [logging] kdc = FILE:/var/log/kdc.log admin_server = FILE:/var/log/kadmin.log default = FILE:/var/log/krb.log # Fin de /etc/heimdal/krb5.conf EOF
Debes cambiar por tu dominio y por el hostname correcto cada aparición de [hostname] y [EXAMPLE.COM].
default_realm debe ser el nombre de tu dominio en MAYUSCULAS. Esto no es imprescindible, pero tanto Heimdal como MIT lo recomiendan.
encrypt = true proporciona encriptación de todo el tráfico entre clientes y servidores kerberizados. No es necesario y puede descartarse. Si lo descartas, puedes encriptar el trafico del cliente al servidor usando en su lugar una opción del programa cliente.
Los parámetros [realms] le indica al cliente donde buscar los servicios de autenticación KDC.
La sección [domain_realm] mapea un dominio a un reino.
Almacena la contraseña maestra en un fichero clave usando los siguientes comandos:
install -d -m 755 /var/lib/heimdal &&
kstash
Crea la base de datos KDC:
kadmin -l
Elige por ahora las opciones por defecto. Puedes volver más tarde para cambiarlas, deberías sentir la necesidad. En el indicador kadmin>, ejecuta la siguiente sentencia:
init [EXAMPLE.COM]
Ahora deberíamos poblar la base de datos con príncipes (usuarios). Por ahora, utiliza simplemente tu nombre de ingreso normal o root. Puesdes crear unos pocos o tantos príncipes como desees utilizando la sifgguiente sentencia:
add [loginname]
El servidor KDC y cualquier máquina que esté ejecutando demonios servidor kerberizados debe tener instalada una clave de anfitrión:
add --random-key host/[hostname.example.com]
Tras elegir las opciones por defecto cuando se te pregunte, tendrás que exportar los datos a un fichero de tabla de claves:
ext host/[hostname.example.com]
Esto debería crear dos ficheros en /etc/heimdal; krb5.keytab (Kerberos 5) y srvtab (Kerberos 4). Ambos ficheros deben tener permiso 600 (lectura y escritura solo por root). Proteger los ficheros de tabla de claves del acceso público es crucial parapreservar la seguridad de la instalación de Kerberos.
Eventualmente, querrás añadir príncipes del demonio servidor a la base de datos y extraerlos al fichero de tabla de claves. Harás esto de la misma forma que creaste los príncipes del anfitrión. A continuación un ejemplo:
add --random-key ftp/[hostname.example.com]
(elige las opciones por defecto)
ext ftp/[hostname.example.com]
Sal del programa kadmin (utiliza quit o exit) y regresa al indicador del intérprete de comandos. Inicia manualmente el demonio KDC, sólo para comprobar la instalación:
/usr/sbin/kdc &
Intenta conseguir un TGT (entrada de garantía de entrada) con el siguiente comando:
kinit [nombre de ingreso]
Se te preguntará la contraseña que creaste. Tras conseguir tu entrada, deberías listarla con el siguiente comando:
klist
En pantalla se montrará la información sobre la entrada.
Para comprobar el funcionamiento del fichero de tabla de claves, ejecuta el siguiente comando:
ktutil list
Esto debería volcar un listado de los príncipes del anfitrión, junto con los métodos de encriptación usados para acceder al príncipe.
En este punto, si todo a ido bien, puedes sentirte bastante seguro de la instalación y configuración del paquete.
Instala el gión de inicio /etc/rc.d/init.d/heimdal incluido en el paquete blfs-bootscripts-6.0.
make install-heimdal
Para usar los programas cliente kerberizados (telnet, ftp, rsh, rxterm, rxtelnet, rcp, xnlock), primero debes obtener un TGT. Utiliza el programa kinit para obtener la entrada. Una vez que la hayas adquirido, puedes utilizar los programas kerberizados para conectarte a cualquier servidor kerberizado de la red. No se te preguntará la contraseña hasta que tu entrada expire (un día por defecto). a no ser que tu le especifiques un usuario diferente como argumento en la línea de comandos del programa.
Los programas kerberizados conectarán con demonios no kerberizados, advirtiendote que la autenticación no está encriptada. Como se mencionó antes. sólo el programa ftp tiene problemas conectandose con demonios no keberizados.
Para usar los programas X de Heimdal, necesitarás añadir uns entrada de puerto de servicio en el fichero /etc/services para el servidor kxd. No hay un "número de puerto estandar" para el servicio "kx" en la base de datos de IANA, por lo que tendrás que elegir un puerto libre. Añade una entrada en el fichero services similar a la siguiente (sustituye [49150] por tu puerto elegido):
kx [49150]/tcp # Heimdal kerberos X kx [49150]/udp # Heimdal kerberos X
Para información adicional, consulta la receta de Heimdal, en la cual están basadas estas instrucciones.
Obtiene marcas AFS para un número de celdas.
Cliente FTP kerberizado.
Demonio FTP kerberizado.
Toma una base de datos principal en un formato especificado y lo convierte a un flujo de entradas de base de datos de Heimdal.
Un servidor que recive una base de datos enviada por hprop y la escribe como base de datos local.
Demonio que corre en el servidor KDC con propagación de cambios incrementales de la base de datos KDC al servidor esclavo KDC.
Demonio que crre en el servidor KDC con propagación de cambios incrementales hacia la base de datos KDC procedentes de servidor KDC maestro.
Una utilidad para hacer modificaciones en la base de datos de Kerberos.
Un servidor para acceso administrativo a la base de datos de Kerberos.
Enlace simbólico al programa kinit.
Un servidor Kerberos 5.
Elimina el grupo actual de entradas.
Un programa que reenvia entradas a servidores remotos a través de un flujo autenticado y encriptado.
Recive entradas reenviadas.
Obtiene una entrada para un servicio.
Se usa para autentificar al servidor Kerberos como principal y adquirir un ticket de entrada garantizada que puede usarse posteriormente para obtener entradas a otros servicios.
Lee y muentra las entradas actuales en la caché de credenciales.
Un programa para cambiar contraseñas Kerberos 5.
Un servidor de cambio de contraseñas Kerberos 5.
Muestra información sobre cómo enlazar programas con las librerías de Heimdal.
Almacena la contraseña maestra KDC en un fichero.
Un programa para administrar tablas de claves Kerberos.
Un programa que renvia conexiones X de forma segura.
El demonio para kx.
Programa de ingreso al sistema kerberizado.
Administra contraseña de un sólo uso.
Imprime listas de contraseñas de un sólo uso.
Guión que lanza push --from.
Un Servidor POP-3 kerberizado.
Un cliente de recigida de correo POP kerberizado.
Un programa clinte rcp kerberizado.
Un programa clinte rsh kerberizado.
Un servidor rsh kerberizado.
Inicia una ventana xterm con un telnet al anfitrión indicado y reenvia conexiones X.
Inicia una xterm remota de forma segura.
Mapea una contraseña a una clave.
Un programa cliente su kerberizado.
Un programa cliente telnet kerberizado
Un servidor telnet kerberizado.
Retorna reenvios de conexiones X.
Compueba errores óbvios en el fichero krb5.conf.
Un programa que actúa como salvapantallas seguro en estaciones de trabajo que ejecutan X.
Proporciona las funciones ASN.1 y DER para codificar y decodificar los TGT de Kerberos.
Una librería de edición de línea de comandos con historial.
Contiene las funciones Generic Security Service Application Programming Interface (GSSAPI) que proporcionan servicios de seguridad a los invocadores en una forma genérica, soportando una gama de mecanismos y tecnologías subyacentes y, por tanto, permitiendo la portabilidad a nivel de código de las aplicaciones a diferentes entornos.
Una librería de acceso a bases de datos Heimdal Kerberos 5 para autenticación/autorización.
Contiene las funciones administrativas de autenticación y comprobación de contraseñas requeridas por los programas cliente de Kerberos 5.
Contiene las funciones administrativas de autenticación y comprobación de contraseñas requeridas por los servidores Kerberos 5.
Contiene las funciones necesarias para la autentificación en AFS.
Una librería Kerberos 5 de proposito general.
Contiene las funciones necesarias para la autentificación de contraseñas de un solo uso.
Una librería que contiene las funciones de compatibilidad de Kerberos 5.
Last updated on 2005-04-09 00:53:09 +0200