配置OpenLDAP使用Kerberos验证.docVIP

配置OpenLDAP使用Kerberos验证 1 前言 假设你的Openldap已经配置好并成功运行，本文只是介绍如何使Openldap使用Kerberos来验证用户身份。 本配置在FC5上通过，在使用rhe时，很可能会有不同的情况。 2 名词解释 2.1 Kerberos 基于 共享密钥 的安全机制，由MIT发明，现在已经被标准化，最新是版本5，简称krb5。Kerberos特别适合局域网络，Windows2k及以上系统的安全机制 即基于kerberos。Kerberos有多个实现版本，本文使用的一个它的实现叫做mit?-kerberos。 2.2 SASL 简单认证和安全层(Simple Authentication and Security Layer)。也是一套RFC定义的标准。它的核心思想是把用户认证和安全传输从应用程序中隔离出来。像SMTP协议在定义之初都没有考虑到用户认证等问 题，现在SMTP可以配置使用SASL来完成这方面的工作。Openldap同样如此。 SASL支持多种认证方法，比如 ? ANONYMOUS: 无需认证。 ? PLAIN：明文密码方式(cleartext password) ? DIGEST-MD5: HTTP Digest 兼容的安全机制，基于MD5，可以提供数据的安全传输层。这个是方便性和安全性结合得最好的一种方式。也是默认的方式。 ? GSSAPI：Generic Security Services Application Program Interface Gssapi本身是一套API，由IETF标准化。其最主要也是著名的实现是基于Kerberos的。所以一般说到gssapi都暗指kerberos实 现。 ? EXTERNAL：认证已经在环境中实现了，比如SSL/TLS, IPSec. 2.3 Cyrus SASL Cyrus-SASL是SASL协议最常用的一个实现。其他实现还有GNU SASL等。 3 环境准备 3.1 环境 (1) (2) (3) 3.2 安装软件包 Kerberos server: Krb5-server Sasl-gssapi: Cyrus-sasl-gssapi Kerberos client: Krb5-client 如果依赖于别的包，也一并安装 4 配置Kerberos server 配置文件包括下面3个文件 1. /etc/krb5.conf 2. /var/kerberos/krb5kdc/kdc.conf 3. /var/kerberos/krb5kdc/kadm5.acl 4.1 配置/etc/krb5.conf 这个配置文件设置整个kerberos环境的，所以不但server，而且client也会使用它。 [logging] default = FILE:/var/log/krb5libs.log kdc = FILE:/var/log/krb5kdc.log admin_server = FILE:/var/log/kadmind.log [libdefaults] default_realm = EXAMPLE.COM default_tgs_enctypes = des3-hmac-sha1 des-cbc-crc des-cbc-md5 default_tkt_enctypes = des3-hmac-sha1 des-cbc-crc des-cbc-md5 permitted_enctypes = des3-hmac-sha1 des-cbc-crc des-cbc-md5 dns_lookup_realm = false dns_lookup_kdc = false ticket_lifetime = 24h forwardable = yes [realms] EXAMPLE.COM = { kdc = :88 admin_server = :749 default_domain = } [domain_realm] . = EXAMPLE.COM = EXAMPLE.COM [kdc] profile = /var/kerberos/krb5kdc/kdc.conf [appdefaults] pam = { debug = false ticket_lifetime = 36000 renew_lifetime = 36000 forwardable = true krb4_convert = false } 4.2 配置/var/kerberos/krb5kdc/kdc.conf 这个配置文件是专门为kdc定义的参数 [kdcdefaults] v4_mod