La configurazione di un client Kerberos 5 è meno impegnativa rispetto a quella del server. Dovete, come minimo, installare i pacchetti client e fornire a ciascun client un file di configurazione krb5.conf valido. Le versioni kerberizzate di rsh e rlogin necessitano anche di alcune modifiche.
Assicuratevi che il client kerberos e il KDC siano sincronizzati. Per maggiori informazioni in merito, consultate la Sezione 18.5. Accertatevi, inoltre, che il DNS funzioni correttamente sul client Kerberos prima di configurare i programmi relativi al client di Kerberos.
Installate i pacchetti krb5-libs e krb5-workstation su tutte le macchine dei. Dovete anche fornire un file /etc/krb5.conf valido per ciascun client (in genere, si può utilizzare lo stesso krb5.conf usato dal KDC).
Prima che una workstation presente nel realm possa consentire agli utenti di connettersi utilizzando versioni Kerberizzate di rsh e rlogin, occorre installarvi il pacchetto xinetd ed è necessario che il principal host sia incluso nel database di Kerberos. Anche per i programmi del serverkshd e klogind, sarà necessario l'accesso alle chiavi per i principal dei loro servizi.
Utilizzando kadmin, aggiungete un principal host alla workstation sul KDC. L'istanza, in questo caso, saràl'hostname della postazione. Potete utilizzare l'opzione -randkey per addprinc appartenente al comando kadmin per creare il principal e assegnargli una chiave casuale:
addprinc -randkey host/blah.example.com |
Una volta creato il principal, potete estrarre le chiavi per la workstationeseguendo kadmin direttamente sulla workstation e utilizzare il comando ktadd all'interno di kadmin:
ktadd -k /etc/krb5.keytab host/blah.example.com |
Se desiderate utilizzare altri servizi di rete Kerberizzati, essi devono esseri avviati. Di seguito viene riportato un elenco dei servizi kerberizzati piú comuni e le istruzioni su come abilitarli:
rsh e rlogin — Per utilizzare la versione Kerberizzata di rsh e rlogin, dovete abilitare klogin, eklogin e kshell.
Telnet — Per usare la versione kerberizzata di Telnet, dovete abilitare krb5-telnet.
FTP — Per l'accesso FTP, create ed estraete una chiave per un principal con una root di ftp. Assicurarsi di impostare l'istanza sull'hostname qualificato del server FTP, abilitate poi gssftp.
IMAP — Il server IMAP incluso nel pacchetto imap,utilizza l'autenticazione GSS-API con Kerberos 5 se trova la chiave corretta all'interno di /etc/krb5.keytab. Il root per il principal dovrebbe essere imap.
CVS — il server CVS gserver kerberizzato, usa un principal con un root di cvs ed è identico al pserver del CVS.
Per maggiori dettagli su come abilitare i servizi, controllare il capitolo intitolato Controllo dell'accesso ai servizi nel Red Hat Enterprise Linux System Administration Guide.