Kerberos這一名詞來源於希臘神話“三個頭的狗——地獄之門守護者”系統設計上采用客戶端/服務器結構與DES加密技術,並且能夠進行相互認證,即客戶端和服務器端均可對對方進行身份認證。可以用於防止竊聽、防止replay攻擊、保護數據完整性等場合,是一種應用對稱密鑰體制進行密鑰管理的系統。為了賬號的統一管理方便,公司開始使用了Kerberos。下面是一些簡單且常用的命令,mark一下。
windows客戶端系統
一 [安裝krb5軟件]
若使用SecureCRT為64位版本需要對應安裝64位krb5;若使用SecureCRT為32位需要對應安裝32位krb5;如果使用xshell5需對應安裝32位的krb5.(注:xshell4不具備使用kerberos功能)
- 64位Kerberos下載地址:http://web.mit.edu/kerberos/dist/kfw/4.0/kfw-4.0.1-amd64.msi
- 32位Kerberos下載地址:http://web.mit.edu/kerberos/dist/kfw/4.0/kfw-4.0.1-i386.msi
二 [登錄krb5軟件]
- 登錄(12小時后登錄票據會過期,需重登錄):
- 4.0.1版本:
- 開始菜單打開MIT Kerberos Ticket Manager->Get Ticket->Principal填YourCount->Password->Ok;
- 注銷: kdestroy
- netidmgr圖形界面的Credential -> Destroy 或者 Ctrl + D;
- 修改密碼:
- netidmgr圖形界面的Credential - Change Password修改 (每3個月,長度10個字符以上,字符集為3種或以上“aA1~”)
三 [使用krb5登錄服務器]
- CRT或Xshell中的登錄用戶欄,需要填work或root(根據權限而定)
- 使用SecureCRT軟件時 建議用32位版本
- Quick Connect或Sessions選擇要連接的主機-> Username寫服務器系統帳號work或root等 -> Authentication選項中把GSSAPI上移為首選項;
- 或者使用putty時
- Connection - SSH - Auth - GSSAPI , 確保勾上 Attempt GSSAPI authentication 那個復選框
- 或者使用Xshell時 需要升級為Xshell5
- 連接->用戶身份驗證->方法->選擇"Kerberos"或者"GSSAPI"
Linux客戶端系統
一 安裝krb5軟件
Ubuntu: apt-get install krb5-user
CentOS: yum install krb5-workstation
二 修改配置文件
- 修改或添加/etc/ssh/ssh_config配置: GSSAPIAuthentication yes
三 使用kerberos
- 設置服務器登錄權限
-
- 設置root權限:vim /root/.k5login 添加對應賬號,保存更改
- 設置work權限:vim /home/work/.k5login 添加對應賬號,保存更改
- 登錄(12小時后登錄票據會過期,需重登錄): kinit 用戶名 或 kinit 用戶名@*OS.ORG (后綴需要大寫)
- 查看: klist
- 注銷: kdestroy
- 修改密碼: kpasswd 用戶名 (每3個月,長度10個字符以上,字符集為3種或以上“aA1~”)
- 登錄服務器: ssh work@IP 或 ssh root@IP 或 ssh readonly@IP 等