Nächste: , Vorige: , Nach oben: Dienste   [Inhalt][Index]

12.9.17 Kerberos-Dienste

Das (gnu services kerberos)-Modul stellt Dienste zur Verfügung, die mit dem Authentifizierungsprotokoll Kerberos zu tun haben.

Krb5-Dienst

Programme, die eine Kerberos-Clientbibliothek benutzen, erwarten meist, dass sich eine Konfigurationsdatei in /etc/krb5.conf befindet. Dieser Dienst erzeugt eine solche Datei aus einer Definition, die in der Betriebssystemdeklaration angegebenen wurde. Durch ihn wird kein Daemon gestartet.

Keine „Schlüsseltabellen“-Dateien werden durch diesen Dienst zur Verfügung gestellt – Sie müssen sie ausdrücklich selbst anlegen. Dieser Dienst funktioniert bekanntermaßen mit der MIT-Clientbibliothek mit-krb5. Andere Implementierungen wurden nicht getestet.

Scheme-Variable: krb5-service-type

Ein Diensttyp für Kerberos-5-Clients.

Hier ist ein Beispiel, wie man ihn benutzt: 

(service krb5-service-type
         (krb5-configuration
          (default-realm "EXAMPLE.COM")
          (allow-weak-crypto? #t)
          (realms (list
                   (krb5-realm
                    (name "EXAMPLE.COM")
                    (admin-server "groucho.example.com")
                    (kdc "karl.example.com"))
                   (krb5-realm
                    (name "ARGRX.EDU")
                    (admin-server "kerb-admin.argrx.edu")
                    (kdc "keys.argrx.edu"))))))

Dieses Beispiel stellt eine Client-Konfiguration für Kerberos 5 zur Verfügung, mit der:

Die Typen krb5-realm und krb5-configuration haben viele Felder. Hier werden nur die am häufigsten benutzten beschrieben. Eine vollständige Liste und jeweils detailliertere Erklärungen finden Sie in der Dokumentation von krb5.conf vom MIT.

Datentyp: krb5-realm
name

Dieses Feld enthält eine Zeichenkette, die den Namen des Administrationsbereichs bezeichnet. Üblich ist, den vollständigen DNS-Namen („Fully Qualified DNS Name“) Ihrer Organisation nur in Großbuchstaben zu benutzen.

admin-server

Dieses Feld enthält eine Zeichenkette, die den Rechner benennt, auf dem der Administrationsserver läuft.

kdc

Dieses Feld enthält eine Zeichenkette, die das Schlüsselverteilungszentrum für den Administrationsbereich angibt.

Datentyp: krb5-configuration
allow-weak-crypto? (Vorgabe: #f)

Wenn diese Option auf #t gesetzt ist, werden auch Dienste akzeptiert, die nur Verschlüsselungsalgorithmen anbieten, die bekanntermaßen schwach sind.

default-realm (Vorgabe: #f)

Dieses Feld sollte eine Zeichenkette enthalten, die den voreingestellten Kerberos-Administrationsbereich für den Client angibt. Sie sollten in diesem Feld den Namen Ihres Kerberos-Administrationsbereichs eintragen. Wenn der Wert #f ist, dann muss ein Administrationsbereich mit jedem Kerberos-Prinzipal zusammen angegeben werden, wenn Programme wie kinit aufgerufen werden.

realms

Hierin sollte eine nichtleere Liste von je einem krb5-realm-Objekt pro Administrationsbereich stehen, auf den Clients zugreifen können. Normalerweise hat einer davon ein name-Feld, das mit dem default-realm-Feld übereinstimmt.

PAM-krb5-Dienst

Der pam-krb5-Dienst ermöglicht es, bei der Anmeldung und Passwortverwaltung Benutzer über Kerberos zu authentifizieren. Sie brauchen diesen Dienst, damit Anwendungen, die PAM benutzen können, Nutzer über Kerberos authentifizieren können.

Scheme-Variable: pam-krb5-service-type

Ein Diensttyp für das PAM-Modul zu Kerberos 5.

Datentyp: pam-krb5-configuration

Der Datentyp, der die Konfiguration des PAM-Moduls für Kerberos 5 repräsentiert. Dieser Typ hat die folgenden Parameter:

pam-krb5 (Vorgabe: pam-krb5)

Das pam-krb5-Paket, das benutzt werden soll.

minimum-uid (Vorgabe: 1000)

Der kleinste Benutzeridentifikator (UID), für den Authentifizierung über Kerberos versucht werden soll. Lokale Benutzerkonten mit niedrigeren Zahlwerten können sich nicht authentisieren und bekommen dazu keine Meldung angezeigt.

Nächste: LDAP-Dienste, Vorige: Systemüberwachungsdienste, Nach oben: Dienste   [Inhalt][Index]