【管理工具】Kerberos简单应用

Kerberos这一名词来源于希腊神话“三个头的狗——地狱之门守护者”系统设计上采用客户端/服务器结构与DES加密技术，并且能够进行相互认证，即客户端和服务器端均可对对方进行身份认证。可以用于防止窃听、防止replay攻击、保护数据完整性等场合，是一种应用对称密钥体制进行密钥管理的系统。为了账号的统一管理方便，公司开始使用了Kerberos。下面是一些简单且常用的命令，mark一下。

windows客户端系统

一  [安装krb5软件]

　　若使用SecureCRT为64位版本需要对应安装64位krb5；若使用SecureCRT为32位需要对应安装32位krb5；如果使用xshell5需对应安装32位的krb5.(注:xshell4不具备使用kerberos功能)

• 64位Kerberos下载地址：http://web.mit.edu/kerberos/dist/kfw/4.0/kfw-4.0.1-amd64.msi
• 32位Kerberos下载地址：http://web.mit.edu/kerberos/dist/kfw/4.0/kfw-4.0.1-i386.msi

二  [登录krb5软件]

1. 登录(12小时后登录票据会过期，需重登录)：
   • 4.0.1版本：
   • 开始菜单打开MIT Kerberos Ticket Manager->Get Ticket->Principal填YourCount->Password->Ok；
2. 注销：  kdestroy
   • netidmgr图形界面的Credential -> Destroy  或者 Ctrl + D；
3. 修改密码： 
   • netidmgr图形界面的Credential - Change Password修改 （每3个月，长度10个字符以上，字符集为3种或以上“aA1~”）

三 [使用krb5登录服务器]

1. CRT或Xshell中的登录用户栏，需要填work或root（根据权限而定）
2. 使用SecureCRT软件时  建议用32位版本
   • Quick Connect或Sessions选择要连接的主机-> Username写服务器系统帐号work或root等 ->  Authentication选项中把GSSAPI上移为首选项；
3. 或者使用putty时
   • Connection - SSH - Auth - GSSAPI , 确保勾上 Attempt GSSAPI authentication 那个复选框
4. 或者使用Xshell时 需要升级为Xshell5
   • 连接->用户身份验证->方法->选择"Kerberos"或者"GSSAPI"

Linux客户端系统

一 安装krb5软件

Ubuntu：   apt-get install krb5-user
CentOS：   yum install krb5-workstation

二 修改配置文件

• 修改或添加/etc/ssh/ssh_config配置： GSSAPIAuthentication yes

三 使用kerberos

1. 设置服务器登录权限

• • 设置root权限：vim /root/.k5login 添加对应账号，保存更改
  • 设置work权限：vim /home/work/.k5login 添加对应账号，保存更改

1. 登录(12小时后登录票据会过期，需重登录)：  kinit  用户名    或   kinit  用户名@*OS.ORG (后缀需要大写)
2. 查看：  klist
3. 注销：  kdestroy
4. 修改密码：  kpasswd  用户名    （每3个月，长度10个字符以上，字符集为3种或以上“aA1~”）
5. 登录服务器：  ssh  work@IP 或 ssh  root@IP 或 ssh  readonly@IP 等