MIT Kerberose kasutamine Debianiga

Sissejuhatus

Kerberos on SSO süsteem. MIT Kerberos http://web.mit.edu/Kerberos/ on üks Kerberos v5 protokolli http://www.faqs.org/rfcs/rfc1510.html implementatsioon.

Tööpõhimõte

TODO

          ___
         |   | krb5kdc - 88/tcp
         |___| kadmind - 749/tcp
           |
           |
       ----|----------|-------------------------|---
                      |                         |
                    __|__                     __|__
                   |     |                   |     |
                   |_____|                   |_____|

võtmejaotuskeskus (ingl. Key Distribution Center, KDC)
osapool (ingl. k. principal)
pilet (ingl. k. ticket)
täpsustus (ingl. k. instance)
piletite hankimise pilet (ingl. k. Ticket Granting Ticket, TGT)
Generic Security Services Application Programming Interface, GSSAPI

Ettevalmistused

Asjaosaliste arvutite nimede päri-ja pöördteisendused peavad lahenema korrektselt.
Asjaosaliste arvutite kellaaeg peab olema sama.

Serveri tarkvara paigaldamine

Kerberose serverisse paigaldatakse tavaliselt selline tarkvara

# apt-get install krb5-kdc krb5-admin-server krb5-user krb5-config libkadm55 krb5-doc

Paigaldamisel tuletatakse arvuti dns domeeninimest Kerberose piirkonna nimi (ingl. realm) ning küsitakse kerberose serverite nimed, kusjuures paigaldamine lõpeb veateatega

krb5kdc: cannot initialize realm AUUL - see log file for details
Setting up krb5-admin-server (1.6.dfsg.4~beta1-5lenny4) ...
kadmind: No such file or directory while initializing, aborting

Seejärel tuleb moodustada Kerberose piirkond öeldes

# krb5_newrealm 
This script should be run on the master KDC/admin server to initialize
a Kerberos realm.  It will ask you to type in a master key password.
This password will be used to generate a key that is stored in
/etc/krb5kdc/stash.  You should try to remember this password, but it
is much more important that it be a strong password than that it be
remembered.  However, if you lose the password and /etc/krb5kdc/stash,
you cannot decrypt your Kerberos database.
Loading random data
Initializing database '/var/lib/krb5kdc/principal' for realm 'LOOMAAED',
master key name 'K/M@LOOMAAED'
You will be prompted for the database Master Password.
It is important that you NOT FORGET this password.
Enter KDC database master key: 
Re-enter KDC database master key to verify: 


Now that your realm is set up you may wish to create an administrative
principal using the addprinc subcommand of the kadmin.local program.
Then, this principal can be added to /etc/krb5kdc/kadm5.acl so that
you can use the kadmin program on other computers.  Kerberos admin
principals usually belong to a single user and end in /admin.  For
example, if jruser is a Kerberos administrator, then in addition to
the normal jruser principal, a jruser/admin principal should be
created.

Don't forget to set up DNS information so your clients can find your
KDC and admin servers.  Doing so is documented in the administration
guide.

Tulemusena paigaldatakse

klist (krb5-user) - Kerberose cache'itud ja keytab võtmete esitamise utiliit
ktutil (krb5-user) - Kerberose keytab faili haldamise utiliit

Kerberose andmebaasi haldamine

Andmebaasi tekitamiseks tuleb öelda

# krb5_newrealm

Kerberose andmebaasi saab hallata kadmin.local programmiga, nt käsuga listprincs saab küsida registreeritud principalide nimekirja

Lokaalses arvutis, kasutades otse failisüsteemist Kerberose andmebaasifaili

# kadmin.local 
Authenticating as principal root/admin@AUUL with password.
kadmin.local:  listprincs 
K/M@AUUL
kadmin/admin@AUUL
kadmin/changepw@AUUL
kadmin/history@AUUL
krbtgt/AUUL@AUUL

Üle võrgu, kasutades Kerberose andmebaasifaili Kerberose protokolli abil

# kadmin -p root/admin

Selleks, et administraatorid saaksid administreerida, peab fail /etc/krb5kdc/kadm5.acl peab sisaldama rida

*/admin *

keytab faili kasutamine

Keytab failiga töötatakse tavaliselt kolme programmi abil

klist - võimaldab keytab faili sisu esitada, st lugeda faili
ktutil - võimaldab keytab faili sisu redigeerida, sh kahe faili sisu kokku ühendada
kadmin - võimaldab võtmejaotuskeskusest salvestada andmeid keytab faili

klist

Koos krüpto tüübiga keytab faili sisu esitamine

# klist -e -k /etc/krb5.keytab
Keytab name: WRFILE:/etc/krb5.keytab
KVNO Principal
---- --------------------------------------------------------------------------
  3 kadmin/admin@AUUL (AES-256 CTS mode with 96-bit SHA-1 HMAC) 
  3 kadmin/admin@AUUL (ArcFour with HMAC/md5) 
...

ktutil

keytab faili sisu esitamine

# ktutil 
ktutil:  rkt /etc/krb5.keytab
ktutil:  list
slot KVNO Principal
---- ---- ---------------------------------------------------------------------
  1    3                        kadmin/admin@AUUL
  2    3                        kadmin/admin@AUUL
  3    3                        kadmin/admin@AUUL
...

Sisu redigeerimisel peab arvestada, et olemasolevasse faili saab võtmeid ainult lisada. ktutil töötab nii, et ta sisaldab mälus nn slotte kuhu saab laadida keytab failist andmed ning siis mällu laaditud seisu saab salvestada failiks.

kadmin

kadmin on üldiselt Kerberose andmebaasi haldusprogramm, mis muu seal võimaldab andmebaasist salvestada andmeid keytab faili

kadmin: ktadd -k /etc/krb5.keytab root/debian-testing-1.auul
# kadmin -p root/admin -q "ktadd -e des-cbc-crc:normal -k /etc/krb5.keytab nfs/debian-testing-1.auul"

Lisaks saab kadmin abil ka keytab failist andmeid kustutada

kadmin:  ktremove -k /etc/krb5.keytab  nfs/debian-testing-1.auul

Administraatori lisamine

kadmin.local:  addprinc root/admin

Kasutaja lisamine

kadmin.local:  addprinc priit

Hosti lisamine

kadmin.local:  addprinc -randkey host/debian-testing-2.auul

Kliendi tarkvara paigaldamine

# apt-get install krb5-user krb5-clients

Tarkvara paigaldamise käigus küsitakse

REALMi nime
Kerberose serverite nimesid
Kerberose administratiivne (password changing) server

Esitatud andmete põhjal moodustatakse Kerberoses süsteemis osalevale arvutile seadistusfail

/etc/krb5.conf

Kliendi kasutamine

Võtme saamiseks sobib nt öelda

$ kinit
$ klist
Ticket cache: FILE:/tmp/krb5cc_1000
Default principal: priit@AUUL

Valid starting     Expires            Service principal
06/21/10 00:40:13  06/21/10 10:40:13  krbtgt/AUUL@AUUL
        renew until 06/22/10 00:40:09

kshell

kshell (Kerberized rsh) kasutamiseks, nt teiselt arvutilt küsida keskkonna kohta, sobib öelda

$ krb5-rsh -x debian-kdc env
This rsh session is encrypting input/output data transmissions.
KRB5LOCALADDR=192.168.10.204
TERM=network
SHELL=/bin/bash
USER=priit
KRB5REMOTEPORT=55424
PATH=/usr/bin:/local/bin:/usr/bin:/bin:/usr/local/bin:/usr/bin/X11:.
KRB5LOCALPORT=544
PWD=/home/priit
SHLVL=1
HOME=/home/priit
KRB5REMOTEADDR=192.168.10.205
_=/usr/bin/env

OpenSSH

Selleks, et OpenSSH klient saaks ilma paroolita sisse logida, peab serveri seadistusfailis olema rida

GSSAPIAuthentication yes

Õnnestumisel tekib serveri auth.log faili

Jun 20 17:36:08 debian-testing-kdc sshd[4597]: Authorized to priit, krb5 principal priit@AUUL (krb5_kuserok)
Jun 20 17:36:08 debian-testing-kdc sshd[4597]: Accepted gssapi-with-mic for priit from 192.168.10.205 port 33144 ssh2
Jun 20 17:36:08 debian-testing-kdc sshd[4597]: pam_unix(sshd:session): session opened for user priit by (uid=0)

Pileti kehtivuse pikendamine

Pileti kehtivuse pikendamiseks sobib öelda, kusjuures olemasolev pilet peab veel kehtima

$ kinit -R

Kui püüda pikenda kehtetut piletit saab sellise veateate

kinit: Ticket expired while renewing credentials

Pileti kustutamine

Lõpetamiseks

$ kdestroy

LDAP kasutamine