18.6. Configuration d'un client Kerberos 5

Il est moins complexe de configurer un client Kerberos 5 qu'un serveur. Vous devez au minimum installer les paquetages clients et fournir à vos clients un fichier de configuration krb5.conf valide. Les versions kerberisées de rsh et rlogin devront également être modifiée au niveau de la configuration.

  1. Assurez-vous que la synchronisation de l'heure est bien établie entre le client Kerberos et le KDC. Reportez-vous à la Section 18.5 pour de plus amples informations. En outre, vérifiez que le DNS fonctionne correctement sur le client Kerberos avant d'installer les programmes de ce client.

  2. Installez les paquetages krb5-libs et krb5-workstation sur tous les ordinateurs clients. Vous devez fournir un fichier /etc/krb5.conf valid pour chacque client (il est généralement possible d'utiliser le même fichier krb5.conf que celui employé par le KDC).

  3. Avant qu'un poste de travail spécifiée dans le realm ne puisse permettre aux utilisateurs de se connecter à l'aide des commandes kerberiséesrsh et rlogin, le paquetage xinetd devra y être installé sur ce poste de travail et le principal de l'hôte propre au poste devra être présent dans la base de données Kerberos. Les programmes de serveur kshd et klogind devront également avoir accès aux clés du principal de leur service.

    À l'aide de kadmin, ajoutez un principal d'hôte pour le poste de travail sur le KDC. L'instance sera dans ce cas le nom d'hôte du poste de travail. Utilisez l'option -randkey de la commande addprinc de kadmin pour créer le principal et lui attribuer une clé aléatoire :

    addprinc -randkey host/blah.example.com

    Maintenant que vous avez créé le principal, vous pouvez extraire les clés du poste de travail en exécutant kadmin sur le poste de travail lui-même et en utilisant la commande ktadd dans kadmin:

    ktadd -k /etc/krb5.keytab host/blah.example.com
  4. Si vous souhaitez utiliser d'autres services réseau kerberisés, vous devrez les démarrer. Ci-dessous figure une liste des services kerberisés les plus courants et les instructions relatives à leur activation :

    • rsh et rlogin — Afin d'utiliser les versions kerberisées de rsh et rlogin, vous devez activer klogin, eklogin et kshell.

    • Telnet — Afin d'utiliser le service kerberisé Telnet, krb5-telnet doit être activer .

    • FTP — Afin de fournir un accès FTP, créez puis extrayez une clé pour un élément principal avec un root de ftp. Pour cette opération l'instance doit être configurée au nom d'hôte du serveur FTP. Activez ensuite gssftp.

    • IMAP — Le serveur IMAP inclus dans le paquetage imap utilise l'authentification GSS-API à l'aide de Kerberos 5 s'il parvient à trouver la clé appropriée dans /etc/krb5.keytab. Le root du principal devrait être imap.

    • CVS — Un serveur CVS kerberisé, gserver, utilise un principal avec un root de cvs et hormis ce point, est identique au serveur CVS pserver.

    Reportez-vous au chapitre intitulé Contrôle de l'accès aux services du Guide d'administration système de Red Hat Enterprise Linux.pour obtenir de plus amples informations sur l'activation des services.