Kerberos這一名詞來源于希臘神話“三個頭的狗——地獄之門守護者” 系統(tǒng)設(shè)計 上采用客戶端/服務(wù)器結(jié)構(gòu)與 DES 加密技術(shù),并且能夠進行相互認(rèn)證侣背,即客戶端和服務(wù)器端均可對對方進行 身份認(rèn)證 白华。可以用于防止竊聽贩耐、防止replay攻擊弧腥、保護 數(shù)據(jù)完整性 等場合,是一種應(yīng)用對稱 密鑰 體制進行 密鑰管理 的系統(tǒng)潮太。
為了賬號的統(tǒng)一管理方便管搪,公司開始使用了Kerberos。下面是一些簡單且常用的命令铡买,mark一下更鲁。
一 [安裝krb5軟件]
若使用SecureCRT為64位版本需要對應(yīng)安裝64位krb5;若使用SecureCRT為32位需要對應(yīng)安裝32位krb5奇钞;如果使用xshell5需對應(yīng)安裝32位的krb5.(注:xshell4不具備使用kerberos功能)
- 64位Kerberos下載地址:http://web.mit.edu/kerberos/dist/kfw/4.0/kfw-4.0.1-amd64.msi
- 32位Kerberos下載地址:http://web.mit.edu/kerberos/dist/kfw/4.0/kfw-4.0.1-i386.msi
二 [登錄krb5軟件]
- 登錄(12小時后登錄票據(jù)會過期澡为,需重登錄):
- 4.0.1版本:
- 開始菜單打開MIT Kerberos Ticket Manager->Get Ticket->Principal填YourCount->Password->Ok;
- 注銷: kdestroy
- netidmgr圖形界面的Credential -> Destroy 或者 Ctrl + D蛇券;
- 修改密碼:
- netidmgr圖形界面的Credential - Change Password修改 (每3個月缀壤,長度10個字符以上樊拓,字符集為3種或以上“aA1~”)
三 [使用krb5登錄服務(wù)器]
- CRT或Xshell中的登錄用戶欄,需要填work或root(根據(jù)權(quán)限而定)
- 使用SecureCRT軟件時 建議用32位版本
- Quick Connect或Sessions選擇要連接的主機-> Username寫服務(wù)器系統(tǒng)帳號work或root等 -> Authentication選項中把GSSAPI上移為首選項塘慕;
- 或者使用putty時
- Connection - SSH - Auth - GSSAPI , 確保勾上 Attempt GSSAPI authentication 那個復(fù)選框
-
或者使用Xshell時 需要升級為Xshell5
- 連接->用戶身份驗證->方法->選擇"Kerberos"或者"GSSAPI"
Linux客戶端系統(tǒng)
一 安裝krb5軟件
- Ubuntu: apt-get install krb5-user
- CentOS: yum install krb5-workstation
二 修改配置文件
- 修改或添加/etc/ssh/ssh_config配置: GSSAPIAuthentication yes
三 使用kerberos
- 設(shè)置服務(wù)器登錄權(quán)限
- 設(shè)置root權(quán)限:vim /root/.k5login 添加對應(yīng)賬號筋夏,保存更改
- 設(shè)置work權(quán)限:vim /home/work/.k5login 添加對應(yīng)賬號,保存更改
- 登錄(12小時后登錄票據(jù)會過期图呢,需重登錄): kinit 用戶名 或 kinit 用戶名@OS.ORG (后綴需要大寫)
- 查看: klist
- 注銷: kdestroy
- 修改密碼: kpasswd 用戶名 (每3個月条篷,長度10個字符以上,字符集為3種或以上“aA1~”)
- 登錄服務(wù)器: ssh work@IP 或 ssh root@IP 或 ssh readonly@IP 等
