Реализация Kerberos для Unix-систем

В  Unix-системах  распространены  две  схожие  реализации  протокола Kerberos — это MIT Kerberos и Heimdal Kerberos. Реализации во многом схо- жи, поэтому рассмотрим канонический вариант1 от MIT.

Все библиотеки и утилиты, имеющие отношение к Kerberos, распреде-

лены по нескольким пакетам, в случае Debian Linux это следующие пакеты:

?    libkrb5  —   библиотеки  Kerberos  (оригинальный  интерфейс  MIT  и

GSSAPI интерфейс),

?    krb5-config — набор примеров конфигурационных файлов Kerberos,

?    krb5-doc — документация по Kerberos,

?    krb5-user — набор утилит для управления билетами пользователя (полу-

чение, уничтожение, просмотр),

?    krb5-clients — некоторые клиенты классических сетевых сервисов: ftp, telnet, rsh, rcp и т.п.,

?    krb5-servers — сервер KDC, сервис kadmind для удаленного управления базой KDC.

Основой всей системы MIT Kerberos являются, конечно же, библиотеки, которые должны быть правильно настроены для своего функционирования при  помощи  конфигурационного  файла  «krb5.conf».  Данный  файл  имеет

структуру типичного ini-файла, т.е. он поделен на разделы (каждый раздел на- чинается с имени, заключенного в прямые скобки), внутри раздела перечисле- ны пары <опция> = <значение>. Основными разделами файла krb5.conf явля- ются:

?    libdefaults — различные значения по умолчанию,

?    realms — раздел, описывающий информацию об областях Kerberos. Со-

стоит из записей вида <имя области> = { набор опций в виде <опция> = зна-

чение },

?    domain_realm — эта секция описывает принадлежность узла (или целого

DNS-домена) к области Kerberos. Она содержит строки вида: name = REALM,

где name — может быть имя хоста или имя домена, имя домена выделяется ведущей точкой (т.е., если указать example.com, то это обозначает одноимен- ный узел, а если — .example.com, то весь DNS-домен example.com). Если имя области — это просто имя DNS-домена в верхнем регистре, то соответствую- щую запись можно опустить.

Опции раздела libdefaults:

?    ticket_lifetime — время жизни билета в секундах (не может превышать максимального времени жизни, разрешенного на KDC);

Рис. 7.8. Вывод билетов пользователя в ОС Linux

Источник: Андрончик А. Н., Богданов В. В., Домуховский Н. А., Коллеров А. С., Синадский Н. И., Хорьков Д. А., Щербаков М. Ю., Защита информации в компьютерных сетях. Практический курс

Похожие посты:

Вы можете оставить комментарий, или ссылку на Ваш сайт.

Оставить комментарий