Il est moins complexe de configurer un client Kerberos 5 qu'un serveur. Vous devez au minimum installer les paquetages clients et fournir à vos clients un fichier de configuration krb5.conf valide. Les versions kerberisées de rsh et rlogin devront également être modifiées au niveau de la configuration.
Assurez-vous que la synchronisation de temps existe bien entre le client Kerberos et le KDC. Reportez-vous à la Section 19.5 pour obtenir de plus amples informations. En outre, vérifiez que le DNS fonctionne correctement sur le client Kerberos avant d'installer les programmes clients de Kerberos.
Installez les paquetages krb5-libs et krb5-workstation sur tous les ordinateurs clients. Vous devez fournir un fichier /etc/krb5.conf valide pour chaque client (il est généralement possible d'utiliser le même fichier krb5.conf que celui employé par le KDC).
Avant qu'un poste de travail appartenant au realm puisse permettre aux utilisateurs de se connecter à l'aide des commandes kerberisées rsh et rlogin, le paquetage xinetd doit être installé sur le poste de travail en question et le principal de l'hôte propre du poste doit également être présent dans la base de données Kerberos. Les programmes des serveurs kshd et klogind doivent également avoir accès aux clés du principal de leur service.
À l'aide de kadmin, ajoutez un principal d'hôte pour le poste de travail sur le KDC. L'instance sera dans ce cas le nom d'hôte du poste de travail. Utilisez l'option -randkey de la commande addprinc de kadmin pour créer le principal et lui attribuer une clé aléatoire :
addprinc -randkey host/blah.example.com |
Maintenant que vous avez créé le principal, vous pouvez extraire les clés du poste de travail en exécutant kadmin sur le poste de travail lui-même et en utilisant la commande ktadd dans kadmin :
ktadd -k /etc/krb5.keytab host/blah.example.com |
Pour pouvoir utiliser d'autres services réseau kerberisés, ils doivent d'abord être démarrés. Ci-dessous figure une liste des services kerberisés les plus courants ainsi que les instructions relatives à leur activation :
rsh et rlogin — Afin d'utiliser les versions kerberisées de rsh et rlogin, vous devez activer klogin, eklogin et kshell.
Telnet — Afin d'utiliser le service kerberisé Telnet, krb5-telnet doit être activé.
FTP — Afin de fournir un accès FTP, créez puis extrayez une clé pour un élément principal avec un root définit comme ftp. Pour cette opération, assurez-vous que l'instance est bien configurée sur le nom d'hôte pleinement qualifié du serveur FTP et activez ensuite gssftp.
IMAP — Afin d'utiliser un serveur IMAP kerberisé, le paquetage cyrus-imap utilise Kerberos 5 si le paquetage cyrus-sasl-gssapi est également installé. Le paquetage cyrus-sasl-gssapi contient les plugins Cyrus SASL qui prennent en charge l'authentification GSS-API. Cyrus IMAP devrait fonctionner correctement avec Kerberos tant que l'utilisateur cyrus est en mesure de trouver la bonne clé dans /etc/krb5.keytab et tant que l'élément root pour le principal est paramétré sur imap (créé avec kadmin).
Le paquetage dovecot contient également une alternative à cyrus-imap qui est basée sur leserveur IMAP, également inclus dans Red Hat Enterprise Linux mais qui à l'heure actuelle ne prend pas en charge GSS-API et Kerberos.
CVS — Afin d'utiliser un serveur CVS kerberisé, gserver recourt à un principal avec un root ayant la valeur cvs qui, autrement, est identique au serveur CVS pserver.
Reportez-vous au chapitre intitulé Contrôle de l'accès aux services du Guide d'administration système de Red Hat Enterprise Linux pour obtenir de plus amples informations sur l'activation des services.
| Précédent | Sommaire | Suivant |
| Configuration d'un serveur Kerberos 5 | Niveau supérieur | Ressources supplémentaires |