Utilisez le service Kerberos sur Linux

Mélissa Vincent
Utilisez le service Kerberos sur Linux
L'une des étapes les plus difficiles pour les administrateurs de données est l'ensemble du processus de maintien de la sécurité et de l'intégrité de vos systèmes. Le processus critique consiste à assumer la responsabilité de ce que fait chaque utilisateur. Cela implique également une compréhension approfondie et un contrôle de tout ce qui se passe avec chaque application, serveur et service dans votre infrastructure réseau.

Kerberos reste l'un des protocoles d'authentification les plus sécurisés dans les environnements Linux. Vous découvrirez plus tard que Kerberos est également utile à des fins de chiffrement.

Cet article explique comment implémenter le service Kerberos sur le système d'exploitation Linux. Le guide vous guidera à travers les étapes obligatoires qui garantissent que le service Kerberos sur un système Linux réussit.

Utilisation du service Kerberos sur Linux: un aperçu

L'essence de l'authentification est de fournir un processus fiable pour vous assurer d'identifier tous les utilisateurs de votre poste de travail. Il aide également à contrôler ce à quoi les utilisateurs peuvent accéder. Ce processus est assez difficile dans les environnements de réseau ouvert, sauf si vous comptez exclusivement sur la connexion à chaque programme par chaque utilisateur à l'aide de mots de passe.

Mais dans les cas ordinaires, les utilisateurs doivent être clés dans des mots de passe pour accéder à chaque service ou application. Ce processus peut être mouvementé. Encore une fois, l'utilisation de mots de passe à chaque fois est une recette de fuite de mot de passe ou de vulnérabilité à la cybercriminalité. Kerberos est utile dans ces cas.

En plus de permettre aux utilisateurs de ne s'inscrire qu'une seule fois et d'accéder à toutes les applications, Kerberos permet également à l'administrateur de vérifier en continu ce à quoi chaque utilisateur peut accéder. Idéalement, l'utilisation du Kerberos Linux vise avec succès à aborder les éléments suivants;

  • Assurez-vous que chaque utilisateur a son identité unique et qu'aucun utilisateur ne prend l'identité de quelqu'un d'autre.
  • Assurez-vous que chaque serveur a son identité unique et le prouve. Cette exigence empêche la possibilité que les attaquants se glissent dans les serveurs imitants.

Guide étape par étape sur la façon d'utiliser Kerberos dans Linux

Les étapes suivantes vous aideront à utiliser Kerberos dans Linux avec succès:

Étape 1: Confirmer si vous avez KBR5 installé dans votre machine

Vérifiez si vous avez installé la dernière version Kerberos en utilisant la commande ci-dessous. Si vous ne l'avez pas, vous pouvez télécharger et installer KBR5. Nous avons déjà discuté du processus d'installation dans un autre article.

Étape 2: Créez un chemin de recherche

Vous devrez créer un chemin de recherche en ajoutant / usr / kerberos / bin et / usr / kerberos / sbin au chemin de recherche.

Étape 3: Configurez votre nom de royaume

Votre vrai nom devrait être votre nom de domaine DNS. Cette commande est:

Vous devrez modifier les résultats de cette commande pour s'adapter à votre environnement de royaume.

Étape 4: Créez et démarrez votre base de données KDC pour le principal

Créez un centre de distribution de clés pour la base de données principale. Bien sûr, c'est aussi le point où vous devrez créer votre mot de passe maître pour les opérations. Cette commande est nécessaire:

Une fois créé, vous pouvez démarrer le KDC en utilisant la commande ci-dessous:

Étape 5: Configurez un directeur personnel de Kerberos

Il est temps de créer un directeur KBR5 pour vous. Il devrait avoir des privilèges administratifs car vous aurez besoin des privilèges pour administrer, contrôler et exécuter le système. Vous devrez également créer un directeur hôte pour l'hôte KDC. L'invite pour cette commande sera:

# kadmind [-m]

C'est à ce stade que vous devrez peut-être configurer votre kerberos. Accédez au domaine par défaut dans le fichier «/ etc / krb5.config »et saisir le deafault_realm = istre suivant.UTL.Pt. Le royaume doit également correspondre au nom de domaine. Dans ce cas, Kenhint.Com est la configuration du domaine requise pour le service de domaine dans le maître principal.

Après avoir terminé les processus ci-dessus, une fenêtre apparaîtra qui capture le résumé de l'état des ressources du réseau jusqu'à ce point, comme indiqué ci-dessous:

Il est recommandé que le réseau valide les utilisateurs. Dans ce cas, nous avons Kenhint devrait avoir un UID dans une plage plus élevée que les utilisateurs locaux.

Étape 6: Utilisez la commande Kerberos Kinit Linux pour tester le nouveau principal

L'utilitaire de Kinit est utilisé pour tester le nouveau directeur créé comme capturé ci-dessous:

Étape 7: Créer un contact

La création de contacts est une étape incroyablement vitale. Exécutez à la fois le serveur d'accueil des billets et le serveur d'authentification. Le serveur d'accueil de billets sera sur une machine dédiée qui n'est accessible que par l'administrateur sur le réseau et physiquement. Réduire tous les services de réseautage au moins possible. Vous ne devriez même pas exécuter le service SSHD.

Comme tout processus de connexion, votre première interaction avec KBR5 impliquera de saisir certains détails. Une fois que vous avez saisi votre nom d'utilisateur, le système enverra les informations au serveur d'authentification Linux Kerberos. Une fois que le serveur d'authentification vous a identifié, il générera une session aléatoire pour une correspondance continue entre le serveur de ticket et votre client.

Le billet contiendra généralement les détails suivants:

Noms du serveur d'accueil de billets et du client

  • Durée de vie des billets
  • Heure actuelle
  • La clé de nouvelle génération
  • L'adresse IP du client

Étape 8: Testez à l'aide de la commande Kinit Kerberos pour obtenir des informations d'identification de l'utilisateur

Pendant le processus d'installation, le domaine par défaut est défini sur ist.UTL. PT par le package d'installation. Après cela, vous pouvez obtenir un billet en utilisant la commande kinit tel que capturé dans l'image ci-dessous:

Dans la capture d'écran ci-dessus, Istkenhint fait référence à l'ID utilisateur. Cet ID utilisateur sera également livré avec un mot de passe pour vérifier si un billet Kerberos valide existe. La commande kinit est utilisée pour afficher ou récupérer les billets et les informations d'identification présents dans le réseau.

Après l'installation, vous pouvez utiliser cette commande kinit par défaut pour obtenir un billet si vous n'avez pas de domaine personnalisé. Vous pouvez également personnaliser un domaine complètement.

Dans ce cas, l'ISTKENHINT est l'ID de réseau correspondant.

Étape 9: Testez le système d'administration à l'aide du mot de passe obtenu plus tôt

Les résultats de la documentation sont représentés ci-dessous après une exécution réussie de la commande ci-dessus:

Étape 10: redémarrer le kadmin Service

Redémarrer le serveur à l'aide du # kadmind [-m] La commande vous donne accès à la liste de contrôle des utilisateurs dans la liste.

Étape 11: Surveillez comment fonctionne votre système

La capture d'écran ci-dessous met en évidence les commandes ajoutées dans / etc / nommé / dB.Kenhint.com pour soutenir les clients pour déterminer automatiquement le centre de distribution de clés pour les royaumes en utilisant les éléments DNS SRV.

Étape 12: Utilisez la commande klist pour examiner votre billet et vos informations d'identification

Après avoir saisi le mot de passe correct, l'utilitaire KList affichera les informations ci-dessous sur l'état du service Kerberos qui s'exécute dans le système Linux, comme le montre la capture d'écran ci-dessous:

Le dossier de cache KRB5CC_001 contient la dénotation krb5cc_ et l'identification de l'utilisateur comme indiqué dans les captures d'écran antérieures. Vous pouvez ajouter une entrée au fichier / etc / hosts pour le client KDC pour établir l'identité avec le serveur comme indiqué ci-dessous:

Conclusion

Après avoir terminé les étapes ci-dessus, le royaume Kerberos et les services initiés par le serveur Kerberos sont prêts et fonctionnent sur le système Linux. Vous pouvez continuer à utiliser vos Kerberos pour authentifier d'autres utilisateurs et modifier les privilèges des utilisateurs.

Programmation de bash
Comment vérifier la disponibilité en utilisant des pings dans des scripts bash
La commande de ping envoie des paquets ICMP (Internet Control Message Protocol) à l'hôte cible et me...
Zoe Martinez
Programmation de bash
Comment utiliser Find Command in Bash Script
La commande de recherche peut être utilisée pour trouver des fichiers en fonction du nom, du groupe ...
Lola Bonnet
Debian
Comment configurer un pare-feu avec UFW sur Debian Top 10
Pour configurer un pare-feu avec UFW sur Debian 11, installez-le via le gestionnaire de package APT,...
Jules Colin
Python
Texte gras Matplotlib
Jules Colin
Python
TSPLOT DE SEA
Zoe Martinez
html
Comment utiliser la propriété Mouseevent Pagey?
Célia Girard
Javascrip
Que fait la méthode atob en javascript
Zoe Martinez
AWS
Quels outils AWS et DevOps sont nécessaires pour développer une application Web?
Zoe Martinez
c Sharp
Comment l'opérateur lambda '=>' est utilisé dans C #
Zoe Martinez
c Sharp
Comment utiliser l'héritage en C #
Mohamed Benoit
C programmation C
Instruction IF-ELSE dans la programmation C
Mélissa Vincent
golang
Qu'est-ce qu'une classe et un objet à Golang?
Mélissa Vincent
Programmation de bash
Comment ajouter un nouvel élément à un tableau sans spécifier l'index en bash
Célia Girard