Kerberos简单应用

Kerberos这一名词来源于希腊神话“三个头的狗——地狱之门守护者”系统设计上采用客户端/服务器结构与DES加密技术,并且能够进行相互认证,即客户端和服务器端均可对对方进行身份认证。可以用于防止窃听、防止replay攻击、保护数据完整性等场合,是一种应用对称密钥体制进行密钥管理的系统。为了账号的统一管理方便,公司开始使用了Kerberos。下面是一些简单且常用的命令,mark一下。

windows客户端系统

一  [安装krb5软件]

  若使用SecureCRT为64位版本需要对应安装64位krb5;若使用SecureCRT为32位需要对应安装32位krb5;如果使用xshell5需对应安装32位的krb5.(注:xshell4不具备使用kerberos功能)

  • 64位Kerberos下载地址:http://web.mit.edu/kerberos/dist/kfw/4.0/kfw-4.0.1-amd64.msi
  • 32位Kerberos下载地址:http://web.mit.edu/kerberos/dist/kfw/4.0/kfw-4.0.1-i386.msi

 

二  [登录krb5软件]

  1. 登录(12小时后登录票据会过期,需重登录):  
    • 4.0.1版本:
    • 开始菜单打开MIT Kerberos Ticket Manager->Get Ticket->Principal填YourCount->Password->Ok;
  2. 注销:  kdestroy
    • netidmgr图形界面的Credential -> Destroy  或者 Ctrl + D;
  3. 修改密码: 
    • netidmgr图形界面的Credential - Change Password修改 (每3个月,长度10个字符以上,字符集为3种或以上“aA1~”) 

三 [使用krb5登录服务器]

  1. CRT或Xshell中的登录用户栏,需要填work或root(根据权限而定)
  2.  使用SecureCRT软件时  建议用32位版本
    • Quick Connect或Sessions选择要连接的主机-> Username写服务器系统帐号work或root等 ->  Authentication选项中把GSSAPI上移为首选项;
  3. 或者使用putty时
    • Connection - SSH - Auth - GSSAPI , 确保勾上 Attempt GSSAPI authentication 那个复选框  
  4. 或者使用Xshell时 需要升级为Xshell5
    • 连接->用户身份验证->方法->选择"Kerberos"或者"GSSAPI"

Linux客户端系统

一 安装krb5软件

Ubuntu:   apt-get install krb5-user
CentOS:   yum install krb5-workstation

二 修改配置文件

  • 修改或添加/etc/ssh/ssh_config配置: GSSAPIAuthentication yes

三 使用kerberos

  1. 设置服务器登录权限
    • 设置root权限:vim /root/.k5login 添加对应账号,保存更改
    • 设置work权限:vim /home/work/.k5login 添加对应账号,保存更改
  1. 登录(12小时后登录票据会过期,需重登录):  kinit  用户名    或   kinit  用户名@*OS.ORG (后缀需要大写)
  2. 查看:  klist
  3. 注销:  kdestroy
  4. 修改密码:  kpasswd  用户名    (每3个月,长度10个字符以上,字符集为3种或以上“aA1~”) 
  5. 登录服务器:  ssh  work@IP 或 ssh  root@IP 或 ssh  readonly@IP 等

 

你可能感兴趣的:(Kerberos简单应用)