19.6. Configuración de un cliente Kerberos 5

La configuración de un cliente de Kerberos 5 no es tan complicada como la de un servidor. Lo que tiene que hacer es instalar los paquetes del cliente y proveer a cada cliente con un archivo de configuración krb5.conf válido. Las versiones kerberizadas de rsh y rlogin también requerirán algunos cambios en la configuración.

  1. Asegúrese que la sincronización sea correcta entre el cliente de Kerberos y el KDC. Consulte la Sección 19.5 para mayor información. Además, verifique que el DNS esté funcionando correctamente en el cliente Kerberos antes de configurar los programas cliente de Kerberos.

  2. Instale los paquetes krb5-libs y krb5-workstation en todas las máquinas de clientes. Tiene que dar un archivo válido de /etc/krb5.conf para cada cliente; normalmente es el mismo archivo krb5.conf usado por el KDC.

  3. Antes de que una estación de trabajo del reino permita a los usuarios conectarse usando los comandos kerberizados rsh y rlogin, esa estación de trabajo tendrá que tener instalado el paquete xinetd y tener su propio host principal en la base de datos Kerberos. Los programas de servidor kshd y klogind también necesitan el acceso a las llaves para sus principal de servicios.

    Usando el comando kadmin, añada un host principal para la estación de trabajo en el KDC. La instancia en este caso será el nombre de laestación de trabajo. Puede usar la opción -randkey para el comando kadmin addprinc para crear el principal y asignarle una llave aleatoria:

    addprinc -randkey host/blah.example.com

    Ahora que se ha creado el principal, puede extraer las claves para la estación de trabajo ejecutando kadmin en la estación de trabajo, y usando el comando ktadd en kadmin:

    ktadd -k /etc/krb5.keytab host/blah.example.com
  4. Si desea utilizar otros servicios kerberizados de red, necesitará arrancarlos. Abajo hay una lista de algunos de los servicios kerberizados más comunes y las instrucciones para activarlos:

    • rsh y rlogin — Para usar las versiones kerberizadas de los comandos rsh y rlogin, deberá activar klogin, eklogin, y kshell.

    • Telnet — Para usar Telnet kerberizado, deberá activar krb5-telnet.

    • FTP — Para el acceso FTP, cree y extraiga una entrada para el principal con una raíz de ftp. Asegúrese de colocar la instancia al nombre de host del servidor FTP, luego active gssftp.

    • IMAP — Para utilizar un servidor IMAP kerberizado, el paquete cyrus-imap utiliza Kerberos 5 si también tiene el paquete cyrus-sasl-gssapi instalado. El paquete cyrus-sasl-gssapi contiene las extensiones Cyrus SASL las cuales soportan la autenticación GSS-API. Cyrus IMAP debería de funcionar adecuadamente con Kerberos siempre y cuando el usuario cyrus sea capaz de encontrar la llave correcta en /etc/krb5.keytab, y el root para el principal esté configurado a imap (creado con kadmin).

      El paquete dovecot también tiene una alternativa de servidor IMAP para cyrus-imap, que también está incluida con Red Hat Enterprise Linux, pero que no es compatible con GSS-API ni Kerberos hasta ahora.

    • CVS — Para utilizar un servidor CVS kerberizado gserver utilice un principal con una raíz de cvs y es idéntica al CVS pserver.

    Para detalles sobre como activar servicios, refiérase al capítulo titulado Control de acceso a los servicios en el Manual de administración del sistema de Red Hat Enterprise Linux.