【管理工具】Kerberos简单应用

Kerberos这一名词来源于希腊神话“三个头的狗——地狱之门守护者” 系统设计 上采用客户端/服务器结构与 DES 加密技术,并且能够进行相互认证,即客户端和服务器端均可对对方进行 身份认证 。可以用于防止窃听、防止replay攻击、保护 数据完整性 等场合,是一种应用对称 密钥 体制进行 密钥管理 的系统。

为了账号的统一管理方便,公司开始使用了Kerberos。下面是一些简单且常用的命令,mark一下。

一 [安装krb5软件]

若使用SecureCRT为64位版本需要对应安装64位krb5;若使用SecureCRT为32位需要对应安装32位krb5;如果使用xshell5需对应安装32位的krb5.(注:xshell4不具备使用kerberos功能)

  • 64位Kerberos下载地址:http://web.mit.edu/kerberos/dist/kfw/4.0/kfw-4.0.1-amd64.msi
  • 32位Kerberos下载地址:http://web.mit.edu/kerberos/dist/kfw/4.0/kfw-4.0.1-i386.msi

二 [登录krb5软件]

  1. 登录(12小时后登录票据会过期,需重登录):
    • 4.0.1版本:
    • 开始菜单打开MIT Kerberos Ticket Manager->Get Ticket->Principal填YourCount->Password->Ok;
  2. 注销: kdestroy
    • netidmgr图形界面的Credential -> Destroy 或者 Ctrl + D;
  3. 修改密码:
    • netidmgr图形界面的Credential - Change Password修改 (每3个月,长度10个字符以上,字符集为3种或以上“aA1~”)

三 [使用krb5登录服务器]

  1. CRT或Xshell中的登录用户栏,需要填work或root(根据权限而定)
  2. 使用SecureCRT软件时 建议用32位版本
    • Quick Connect或Sessions选择要连接的主机-> Username写服务器系统帐号work或root等 -> Authentication选项中把GSSAPI上移为首选项;
  3. 或者使用putty时
    • Connection - SSH - Auth - GSSAPI , 确保勾上 Attempt GSSAPI authentication 那个复选框
  4. 或者使用Xshell时 需要升级为Xshell5
    • 连接->用户身份验证->方法->选择"Kerberos"或者"GSSAPI"

Linux客户端系统

一 安装krb5软件

  • Ubuntu: apt-get install krb5-user
  • CentOS: yum install krb5-workstation

二 修改配置文件

  • 修改或添加/etc/ssh/ssh_config配置: GSSAPIAuthentication yes

三 使用kerberos

  1. 设置服务器登录权限
  • 设置root权限:vim /root/.k5login 添加对应账号,保存更改
  • 设置work权限:vim /home/work/.k5login 添加对应账号,保存更改
  1. 登录(12小时后登录票据会过期,需重登录): kinit 用户名 或 kinit 用户名@OS.ORG (后缀需要大写)
  2. 查看: klist
  3. 注销: kdestroy
  4. 修改密码: kpasswd 用户名 (每3个月,长度10个字符以上,字符集为3种或以上“aA1~”)
  5. 登录服务器: ssh work@IP 或 ssh root@IP 或 ssh readonly@IP 等

你可能感兴趣的:(【管理工具】Kerberos简单应用)