二、配置实例

1 配置工具

    Kerberos包括如下管理工具：
    Kerberos 数据库管理守护进程－kadmind

    Kerberos 票证处理守护进程－krb5kdc
    Kerberos应用管理程序： kadmin
    数据库管理程序－kadmin 和 kadmin.local。
    Kerberos GUI管理工具： gkadmin ，如图2 。

图2 Kerberos GUI管理工具 gkadmin

2 主文件

    如果已知相应的网络资源，Kerberos的设置相当简单。一个包含设置内容的配置文件
/

etc/krb5.conf如下：
[libdefaults]
default_realm = CASSOWARY.NET
[realms]
CASSOWARY.NET = ...{
kdc = KERBEROS1.CASSOWARY.NET
KERBEROS2.CASSOWARY.NET
admin_server = KERBEROS1.CASSOWARY.NET
}
[logging]
default = FILE:/var/krb5/kdc.log
kdc = FILE:/var/krb5/kdc.log
kdc_rotate = ...{
period = 1d
versions = 10
}
[appdefaults]
kinit = ...{
renewable = true
forwardable= true
}
gkadmin = ...{
help_url = http://docs.sun.com:80/ab2/coll.384.1/SEAM/ 
@AB2PageView/1195
} 

    刚才的配置文件是为一个叫cassowary.net的域写的，这个域有一个逻辑上的管理服务器叫
kerberos1.cassowary.net，还有一个备份服务器叫kerberos2.cassowary.net。

3 配置主kdc

 KDC 由文件 /etc/krb5/kdc.conf设置:

[kdcdefaults]
kdc_ports = 88,750
[realms]
CASSOWARY.NET = ...{
profile = /etc/krb5/krb5.conf
database_name = /var/krb5/principal
admin_keytab = /etc/krb5/kadm5.keytab 

 使用命令/kdb5_util 初始化KDC

# /usr/sbin/kdb5_util create -r CASSOWARY.NET -s
Initializing database '/var/krb5/principal' for realm 'CASSOWARY.NET',
master key name 'K/M@CASSOWARY.NET'
You will be prompted for the database Master Password.
It is important that you NOT FORGET this password.
Enter KDC database master key:
Re-enter KDC database master key to verify: 

 编辑 Kerberos 访问控制列表文件 (kadm5.acl)。

    填充后，/etc/krb5/kadm5.acl 文件应包含允许管理 KDC 的所有主体名称。

    pwatters/admin@CASSOWARY.NET *

 启动 kadmin.local 命令并添加主体。

    接下来的子步骤创建 Kerberos 服务使用的主体。

kdc1 # /usr/sbin/kadmin.local
kadmin.local:
kadmin.local: ktadd -k /etc/krb5/kadm5.keytab kadmin/
kerberos1.cassowary.net
Entry for principal kadmin/kerberos1.cassowary.net with kvno 3,
encryption type
DES-CBC-CRC added to keytab WRFILE:/etc/krb5/kadm5.keytab.
kadmin.local: ktadd -k /etc/krb5/kadm5.keytab changepw/kdc1.example.com
Entry for principal kadmin/kerberos1.cassowary.net with kvno 3,
encryption type
DES-CBC-CRC added to keytab WRFILE:/etc/krb5/kadm5.keytab.
kadmin.local: ktadd -k /etc/krb5/kadm5.keytab kadmin/changepw
Entry for principal kadmin/kerberos1.cassowary.net with kvno 3,
encryption type
DES-CBC-CRC added to keytab WRFILE:/etc/krb5/kadm5.keytab.
kadmin.local:quit 

 启动 Kerberos 守护进程。

# /etc/init.d/kdc start
# /etc/init.d/kdc.master start 

三、Kerberos系统的缺点

    Kerberos系统的一个缺点是它的加密技术出口的合法性(legalstatus)还不是很明朗。厂商已经得到了出口国际二进制版本产品的许可，然而美国商业部（CommerceDepartment）的原则是一个产品一个产品的审批。详细信息请参考：ftp://ftp.cygnus.com/pub/export/export.html

    任何一个安全产品都有一定的危险性，需要先记录日志然后执行。特别的，在基于系统日志（syslog）的验证体系中有一个广为人知的bug，这导致它具有遭受拒绝服务（denial-of-serviceDOS）攻击的可能。在即将发布的版本中，这个错误已被改正，然而对集中服务系统潜在攻击的可能性成为了Kerberos系统的一个弱点。例如，即使验证服务器和目标服务器都在运行，向门票发放(ticket-granting)服务器的持续大量的请求可能中断任何需要验证的网络服务。