Heimdal является свободной реализацией Kerberos 5, которая нацелена на совместимость с MIT krb5 и обратную совместимость с krb4. Kerberos это протокол сетевой аутентификации. Обычно он сохраняет целостность паролей в любой недоверительной сети (например интернет). Керберизованные приложения работают совместно с сайтами, поддерживающими Kerberos, для подтверждения того, что пароли не могут быть украдены. Установка Kerberos произведет изменения в механизмах аутентификации в вашей сети и перепишет некоторые программы и демоны из пакетов Coreutils, Inetutils, Qpopper и Shadow.
Адрес (HTTP): http://ftp.vc-graz.ac.at/mirror/crypto/kerberos/heimdal/heimdal-0.6.3.tar.gz
Адрес (FTP): ftp://ftp.pdc.kth.se/pub/heimdal/src/heimdal-0.6.3.tar.gz
Контрольная сумма: 2265fd2d4573dd3a8da45ce62519e48b
Размер: 3.3 MB
Требуемое дисковое пространство: 70 MB
Расчетное время сборки: 2.18 SBU
Требуемый патч http://www.linuxfromscratch.org/blfs/downloads/6.0/heimdal-0.6.3-fhs_compliance-1.patch
Требуемый патч для cracklib: http://www.linuxfromscratch.org/blfs/downloads/6.0/heimdal-0.6.3-cracklib-1.patch
Linux-PAM-0.78, OpenLDAP-2.2.20, X (X.org-6.8.2 или XFree86-4.4.0), cracklib-2.7 и krb4
Некоторые виды средств синхронизации времени необходимы в вашей системе (например NTP-4.2.0), поскольку Kerberos не будет аутентифицировать при временнЫх различиях между керберизованным клиентом и KDC сервером более чем на 5 минут.
Перед установкой пакета вы можете захотеть сохранить программу ftp из пакета Inetutils. Это потому, что при использовании программы ftp из пакета Heimdal при соединении с некерберизованными ftp серверами работа может быть некорректной. Она позволит вам соединяться (позволяя вам знать, что передача пароля производиться в виде обычного текста), но будут проблемы при приеме и передаче. Выполните следующие команды как пользователь root.
mv /usr/bin/ftp /usr/bin/ftpn
Если вы планируете скомпоновать пакет Heimdal с библиотекой cracklib, то вы должны применить патч:
patch -Np1 -i ../heimdal-0.6.3-cracklib-1.patch
Установим Heimdal запуском следующих команд:
patch -Np1 -i ../heimdal-0.6.3-fhs_compliance-1.patch &&
./configure --prefix=/usr --sysconfdir=/etc/heimdal \
--datadir=/var/lib/heimdal --localstatedir=/var/lib/heimdal \
--libexecdir=/usr/sbin --enable-shared \
--with-openssl=/usr --with-readline=/usr &&
make
А теперь, как пользователь root:
make install &&
mv /bin/login /bin/login.shadow &&
mv /bin/su /bin/su.shadow &&
mv /usr/bin/{login,su} /bin &&
ln -sf ../../bin/login /usr/bin &&
mv /usr/lib/lib{otp.so.0*,kafs.so.0*,krb5.so.17*,asn1.so.6*} \
/usr/lib/lib{roken.so.16*,crypto.so.0*,db-4.3.so} /lib &&
ln -sf ../../lib/lib{otp.so.0{,.1.4},kafs.so.0{,.4.0},db-4.3.so} \
/usr/lib &&
ln -sf ../../lib/lib{krb5.so.17{,.3.0},asn1.so.6{,.0.2}} \
/usr/lib &&
ln -sf ../../lib/lib{roken.so.16{,.0.3},crypto.so.0{,.9.7}} \
/usr/lib &&
ldconfig
--libexecdir=/usr/sbin: Этот ключ положит программы демонов в /usr/sbin.
Если вы захотите сохранить все существующие демоны из пакета Inetutils, установите демоны Heimdal в /usr/sbin/heimdal (или куда захотите). Поскольку эти программы будут вызываться из скриптов (x)inetd или rc, то не имеет значения, куда они будут установлены, поскольку они коректно описаны в файле /etc/(x)inetd.conf и rc скриптах. Если вы выберите что-то отличное от /usr/sbin, то вы можете захотеть переместить некоторые из пользовательских программ (например kadmin) в /usr/sbin вручную, при этом они будут находиться в пути поиска по умолчанию для привилегированного пользователя.
mv ... .shadow; mv ... /bin; ln -sf ../../bin...: Программы login и su, установленные Heimdal, относятся к директории /bin. Программа login является ссылкой потому, что Heimdal ожидает найти ее в /usr/bin. Старые файлы перед этим сохраненяются перемещением для поддержания функций sane.
mv ... /lib; ln -sf ../../lib/lib... /usr/lib: Программы login и su, установленные Heimdal, компонуются и с библиотеками Heimdal и с библиотеками, предоставляемыми пакетами OpenSSL и Berkeley DB. Эти библиотеки перемещены в /lib для совместимости с FHS и для случая, когда /usr размещен на отдельном разделе, который может быть не всегда примонтирован.
Создадим файл конфигурации Kerberos запуском следующих команд:
install -d /etc/heimdal &&
cat > /etc/heimdal/krb5.conf << "EOF"
# Begin /etc/heimdal/krb5.conf
[libdefaults]
default_realm = [EXAMPLE.COM]
encrypt = true
[realms]
[EXAMPLE.COM] = {
kdc = [hostname.example.com]
admin_server = [hostname.example.com]
kpasswd_server = [hostname.example.com]
}
[domain_realm]
.[example.com] = [EXAMPLE.COM]
[logging]
kdc = FILE:/var/log/kdc.log
admin_server = FILE:/var/log/kadmin.log
default = FILE:/var/log/krb.log
# End /etc/heimdal/krb5.conf
EOF
Вам потребуется установить ваш домен и собственное имя хоста вместо имен [hostname] и [EXAMPLE.COM].
default_realm должен быть именем вашего домена, измененным на ALL CAPS. Оно не обязательно, но Heimdal и MIT рекомендуют его.
encrypt = true предосталяет шифрование всего трафика между керберизованными клиентами и серверами. Это не обязательно и может быть удалено. Если вы это сделаете, то сможете шифровать трафик от клиента к серверу, используя вместо этого клиентскую программу.
Параметр [realms] говорит клиентским программам, где искать сервисы аутентификации KDC.
Секция [domain_realm] отображает домен на область.
Сохраним основной пароль в файле ключей, используя следующие команды:
install -d -m 755 /var/lib/heimdal &&
kstash
Создадим базу данных KDC:
kadmin -l
Теперь выберем параметры по умолчанию. Вы можете вернуться сюда позже и изменить их при необходимости. В приглашении kadmin> введите следующее заявление:
init [EXAMPLE.COM]
Теперь база данных должна содержать как минимум один закон (пользователя). Теперь используйте ваше имя обычного пользователя или root. Вы можете создать как несколько, так и много законов, используя следующее заявление:
add [loginname]
Сервер KDC и любая машина, запустившая керберизованный демон сервера, должны иметь установленный ключ хоста:
add --random-key host/[hostname.example.com]
После выбора параметров по умолчанию во время запроса вы должны экспортировать данные в файл keytab:
ext host/[hostname.example.com]
При этом должны быть созданы два файла в /etc/heimdal: krb5.keytab (Kerberos 5) и srvtab (Kerberos 4) оба с правами доступа 600 (запись/чтение только для root). Содержание файла keytab без общего доступа является критичным для полной безопасности установки Kerberos.
Наконец, вы захотите добавить законы серверного демона к базе данных и извлечь их в файл keytab. Сделайте это тем же способом, каким вы создали законы хоста. Ниже приведен пример:
add --random-key ftp/[hostname.example.com]
(выберите параметры по умолчанию)
ext ftp/[hostname.example.com]
Выйдете из программы kadmin (используя quit или exit) и вернитесь обратно к приглашению оболочки. Запустите демон KDC вручную просто для проверки установки:
/usr/sbin/kdc &
Попробуйте получить TGT (ticket granting ticket) при помощи следующей команды:
kinit [loginname]
У вас будет запрошен пароль, который вы создали. После того, как вы получите ваш билет, вы сможете просмотреть его при помощи следующей команды:
klist
Информация о билете должна быть отображена на экране.
Для проверки функциональности файла keytab выполните следующую команду:
ktutil list
Это должно вывести список законов хоста вместе с методами шифрования, используемым для доступа к законам.
В этом месте, если все прошло удачно, вы можете почувствовать достаточную уверенность в установке и настройке пакета.
Установите стартовый скрипт /etc/rc.d/init.d/heimdal, включенный в пакет blfs-bootscripts-6.0:
make install-heimdal
Для использования керберизованных клиентских программ (telnet, ftp, rsh, rxterm, rxtelnet, rcp, xnlock), вы сначала должны получить TGT. Используйте программу kinit для получения билета. После получения билета вы можете использовать керберизованные программы для соединения с любым керберизованным сервером в сети. У вас не будет запрашиваться аутентификация во время действия билета (по умолчанию один день), если вы не описываете другого пользователя в качестве аргумента командной строки к программе.
Керберизованные программы, которые будут подключаться к некерберизованным демонам, предупредят вас о том, что аутентификация не шифруется. Как упоминалось ранее, только программа ftp создает некоторые проблемы подключения к некерберизованным демонам.
Для использования Heimdal программ для X вам необходимо добавить вход в сервисный порт в файл /etc/services для сервера kxd. В базе данных IANA нет 'стандартизированного номера порта' для сервиса 'kx', поэтому вы должны использовать свободный номер порта. Добавление входа в файл services похоже на содержание, описанное ниже (замените [49150] на выбранный вами номер порта):
kx [49150]/tcp # Heimdal kerberos X
kx [49150]/udp # Heimdal kerberos X
За дополнительной информацией обратитесь к советам по Heimdal, на которых основаны вышеописанные инструкции.
получает AFS символы для номеров ячеек.
керберизованный FTP клиент.
керберизованный FTP демон.
берет базу данных законов в особом формате и преобразует ее в поток записей базы данных Heimdal.
сервер, получающий посылки от базы данных при помощи hprop, и записывающий их в локальную базу данных.
демон, запускаемый на ведущем KDC сервере, который размножает изменения в базе данных KDC на ведомых KDC серверах.
демон, запускаемый на ведомыхKDC, который размножает изменения в базе данных KDC из ведущего KDC сервера.
утилита, используемая для внесения изменений в базу данных Kerberos.
сервер для административного доступа в базу данных Kerberos.
символическая ссылка на программу kinit.
сервер Kerberos 5.
удаляет текущую установку билетов.
программа, перенапрявляющая билеты на удаленный хост через через регистрируемый и шифрованный поток.
сервер, используемый для получения направленных билетов.
получает билеты для сервиса.
используется для регистрации на сервере Kerberos законов и получения билета, разрешая билеты, которые позднее могут быть использованы для получения билетов для других сервисов.
читает и отображает текущие билеты в кеше.
программа для изменения паролей Kerberos 5.
сервер изменения паролей Kerberos 5.
дает информацию о том, как скомпонованы программы с Heimdal библиотеками.
сохраняет основной KDC пароль в файле.
программа для управления таблицами ключей Kerberos.
программа, защищенно направляющая X соединения.
демон для kx.
керберизованная программа login.
управляет одноразовыми паролями.
печатает список одноразовых паролей.
скрипт, запускающий push --from.
керберизованный POP-3 сервер.
керберизованный POP почтовый исправленный клиент.
керберизованная программа-клиент rcp.
керберизованная программа-клиент rsh.
керберизованный rsh сервер.
запускает защищенное окно xterm с telnet на указанном хосте и способствует X содинениям.
запускает защищенный удаленный xterm.
преобразует пароль в ключ.
керберизованная программа-клиент su.
керберизованная программа-клиент telnet.
керберизованный telnet сервер.
направляет X соединения назад.
проверяет файл krb5.conf на возможные ошибки.
программа, которая используется как безопасный хранитель экрана для рабочих станций с запущенным X.
предоставляет функции ASN.1 и DER кодирования и декодирования Kerberos TGT.
библиотека редактирования командной строки с историей команд.
содержит функции Generic Security Service Application Programming Interface (GSSAPI), которые предоставляют сервисы защиты особым способом для вызывающего, поддерживаемые набором механизмов и технологий, а так же позволяющие портируемость приложений на уровне исходников в другие окружения.
библиотека доступа к библиотеке аутентификации/авторизации Heimdal Kerberos 5.
содержит функции административной аутентификации и проверки пароля, требуемые для клиентских программ Kerberos 5.
содержит функции административной аутентификации и проверки пароля, требуемые для серверов Kerberos 5.
содержит функции, необходимые для регистрации в AFS.
библиотека Kerberos 5 общего назначения.
содержит функции, необходимые для поддержки работы с одноразовыми паролями.
библиотека, содержащая функции совместимости с Kerberos 5.
Последнее обновление 2005-02-04 11:58:22 -0700