【管理工具】Kerberos简单应用

Kerberos这一名词来源于希腊神话“三个头的狗——地狱之门守护者” 系统设计 上采用客户端/服务器结构与 DES 加密技术，并且能够进行相互认证，即客户端和服务器端均可对对方进行 身份认证 。可以用于防止窃听、防止replay攻击、保护 数据完整性 等场合，是一种应用对称 密钥 体制进行 密钥管理 的系统。

为了账号的统一管理方便，公司开始使用了Kerberos。下面是一些简单且常用的命令，mark一下。

一 [安装krb5软件]

若使用SecureCRT为64位版本需要对应安装64位krb5；若使用SecureCRT为32位需要对应安装32位krb5；如果使用xshell5需对应安装32位的krb5.(注:xshell4不具备使用kerberos功能)

• 64位Kerberos下载地址：http://web.mit.edu/kerberos/dist/kfw/4.0/kfw-4.0.1-amd64.msi
• 32位Kerberos下载地址：http://web.mit.edu/kerberos/dist/kfw/4.0/kfw-4.0.1-i386.msi

二 [登录krb5软件]

1. 登录(12小时后登录票据会过期，需重登录)：
   • 4.0.1版本：
   • 开始菜单打开MIT Kerberos Ticket Manager->Get Ticket->Principal填YourCount->Password->Ok；
2. 注销： kdestroy
   • netidmgr图形界面的Credential -> Destroy 或者 Ctrl + D；
3. 修改密码：
   • netidmgr图形界面的Credential - Change Password修改 （每3个月，长度10个字符以上，字符集为3种或以上“aA1~”）

三 [使用krb5登录服务器]

1. CRT或Xshell中的登录用户栏，需要填work或root（根据权限而定）
2. 使用SecureCRT软件时 建议用32位版本
   • Quick Connect或Sessions选择要连接的主机-> Username写服务器系统帐号work或root等 -> Authentication选项中把GSSAPI上移为首选项；
3. 或者使用putty时
   • Connection - SSH - Auth - GSSAPI , 确保勾上 Attempt GSSAPI authentication 那个复选框
4. 或者使用Xshell时 需要升级为Xshell5
   • 连接->用户身份验证->方法->选择"Kerberos"或者"GSSAPI"

Linux客户端系统

一 安装krb5软件

• Ubuntu： apt-get install krb5-user
• CentOS： yum install krb5-workstation

二 修改配置文件

• 修改或添加/etc/ssh/ssh_config配置： GSSAPIAuthentication yes

三 使用kerberos

1. 设置服务器登录权限

• 设置root权限：vim /root/.k5login 添加对应账号，保存更改
• 设置work权限：vim /home/work/.k5login 添加对应账号，保存更改

1. 登录(12小时后登录票据会过期，需重登录)： kinit 用户名 或 kinit 用户名@OS.ORG (后缀需要大写)
2. 查看： klist
3. 注销： kdestroy
4. 修改密码： kpasswd 用户名 （每3个月，长度10个字符以上，字符集为3种或以上“aA1~”）
5. 登录服务器： ssh work@IP 或 ssh root@IP 或 ssh readonly@IP 等