Kerberos这一名词来源于希腊神话“三个头的狗——地狱之门守护者”系统设计上采用客户端/服务器结构与DES加密技术,并且能够进行相互认证,即客户端和服务器端均可对对方进行身份认证。可以用于防止窃听、防止replay攻击、保护数据完整性等场合,是一种应用对称密钥体制进行密钥管理的系统。为了账号的统一管理方便,公司开始使用了Kerberos。下面是一些简单且常用的命令,mark一下。
windows客户端系统
一 [安装krb5软件]
若使用SecureCRT为64位版本需要对应安装64位krb5;若使用SecureCRT为32位需要对应安装32位krb5;如果使用xshell5需对应安装32位的krb5.(注:xshell4不具备使用kerberos功能)
- 64位Kerberos下载地址:http://web.mit.edu/kerberos/dist/kfw/4.0/kfw-4.0.1-amd64.msi
- 32位Kerberos下载地址:http://web.mit.edu/kerberos/dist/kfw/4.0/kfw-4.0.1-i386.msi
二 [登录krb5软件]
- 登录(12小时后登录票据会过期,需重登录):
- 4.0.1版本:
- 开始菜单打开MIT Kerberos Ticket Manager->Get Ticket->Principal填YourCount->Password->Ok;
- 注销: kdestroy
- netidmgr图形界面的Credential -> Destroy 或者 Ctrl + D;
- 修改密码:
- netidmgr图形界面的Credential - Change Password修改 (每3个月,长度10个字符以上,字符集为3种或以上“aA1~”)
三 [使用krb5登录服务器]
- CRT或Xshell中的登录用户栏,需要填work或root(根据权限而定)
- 使用SecureCRT软件时 建议用32位版本
- Quick Connect或Sessions选择要连接的主机-> Username写服务器系统帐号work或root等 -> Authentication选项中把GSSAPI上移为首选项;
- 或者使用putty时
- Connection - SSH - Auth - GSSAPI , 确保勾上 Attempt GSSAPI authentication 那个复选框
- 或者使用Xshell时 需要升级为Xshell5
- 连接->用户身份验证->方法->选择"Kerberos"或者"GSSAPI"
Linux客户端系统
一 安装krb5软件
Ubuntu: apt-get install krb5-user
CentOS: yum install krb5-workstation
二 修改配置文件
- 修改或添加/etc/ssh/ssh_config配置: GSSAPIAuthentication yes
三 使用kerberos
- 设置服务器登录权限
-
- 设置root权限:vim /root/.k5login 添加对应账号,保存更改
- 设置work权限:vim /home/work/.k5login 添加对应账号,保存更改
- 登录(12小时后登录票据会过期,需重登录): kinit 用户名 或 kinit 用户名@*OS.ORG (后缀需要大写)
- 查看: klist
- 注销: kdestroy
- 修改密码: kpasswd 用户名 (每3个月,长度10个字符以上,字符集为3种或以上“aA1~”)
- 登录服务器: ssh work@IP 或 ssh root@IP 或 ssh readonly@IP 等