1、1言假設你的 Openldap 已經配置好并成功運行，本文只是介紹如何使 Openldap 使用 K e r b e r o s 來 驗 證 用 戶 身 份 。本配置在 FC5 上通過，在使用 r he 時，很可能會有不同的情況。2名詞解釋Kerberos基于共享密鑰的安全機制，由MIT 發明，現在已經被標準化，最新是版本5，簡稱krb5 。 Kerberos 特別適合局域網絡， Windows2k 及以上系統的安全機制即基于kerberos。Kerberos有多個實現版本，本文使用的一個它的實現叫做 mit-kerberosSASL簡單認證和安全層(SimpleAuthenticationa

2、ndSecurityLayer)。也是一套 RFC定義的標準。它的核心思想是把用戶認證和安全傳輸從應用程序中隔離出來。像SMT助無需認證議在定義之初都沒有考慮到用戶認證等問題，現在 SMTP可以配置使用SASL來完成這方面的 工 作 。Ope n ldap同樣如此。SASL支 持多種認證方法 ， 比 如ANONYMOUSP L A I N ： 明 文 密 碼 方 式 ( c l e a r t e x t p a s s w o r d )DIGEST-MD5:HTTPDiges兼容的安全機制，基于 MD5可以提供數據的安全傳輸層。這 個是 方 便性 和 安 全性 結合 得 最好 的 一 種方

3、 式。 也 是 默 認的 方式 。 GSSAPI ：Generi cSecuri t yServi cesAppl i cat i onPr ogramI nt erf ace Gssapi本身是一套API,由IETF標準化。其最主要也是著名的實現是基于 Kerberos 的 。 所 以 一 般 說 到 g s s a p i 都 暗 指 k e r b e r o s 實 現 。EXTERNAL： 認 證 已 經 在環 境中 實 現 了， 比如 SSL/ TLS, I PSec.CyrusSASLCyrus-SASL 是SASL協議最常用的一個實現。其他實現還有GNUSASL等。3環境準備l

4、oggingK r b 5 - s e r v e rK e r b e r o s s e r v e rS a s l - g s s a p iC y r u s - s a s l - g s s a p iK e r b e r o s c lK r b 5 - c l i e n t如果依賴于別的包也一并安裝配置K e r b e ro s s e r v e r配置文件包括下個文件c/kerberb5kdc/kerberb5kdc/c/置/這個配置文件設置整個 kerberos 環境的，所以不但 server ，而且 client 也會使用它。d e f a u l t/ v a

5、 r / l o gkdc/ v a r / log/ v a r / l o g /li b d eauldea u l tr e a l mdef ault _t gs_enct ypes=des3-hmac-sha1des- cbc-crcdes-cbc- md5def ault _t kt _enct ypes=des3-hmac-sha1des- cbc-crcdes-cbc- md5per mit t ed_enct ypes=des3- hmac-sha1des-cbc-crcdes-cbc-md5medeault _ d o m a id o m a ikilppdedebug

6、tic k e t _ l in_realmkerberaulb5kdc/a l s em e = 3 6 0 0 0r e n e w _ lme=3600o r w a rdable=tkrb4_conver配 置 / v a r /kerkrb5kdc/個配置文件是專門為kdc定義的參數k d c d eaulsupported_enctypes=des3-hmac-sha1:normalarcfour-hmac:normaldes-hmac-sha1 :normaldes-cbc-md5:normaldes-cbc-crc:normaldes-cbc-crc:v4des-cbc-crc

7、:afs3配 置 / v a r /此文件是 Accesscontrolk e r b e r o s / k r b 5 k d c /配置。下面是一個最簡單但系統可以工作的配置。根據實際情況設置你己的訪問控制創建ealk er ber s數 據 庫 文 件 都 放 在 / v ar /k er ber os / k r b 5k dc / 下 面 。啟動kr b 5k d c 和 ka d m i n兩個service>servi c e kr b 5 kdcstart>servi c e kadminstart創 建 P r i n c i p a l 在 Kerberos

8、安全機制里，一個 principal 就是 realm 里的一個對象，一個 principal總 是 和 一 個 密 鑰 ( s e c r e t k e y ) 成 對 出 現 的 。 這個 principal 的對應物可以是 service ，可以是 host ，也可以是 user ，對于K e r b e r o s 來 說 ， 都 沒 有 區 別 。 Kdc(Keydistributecenter) 知道所有 principal 的 secretkey ，但每個 principal對應的對象只知道自己的那個secret key。這也是“共享密鑰“的由來。作為例子，下面我們將會創建 3

9、 個 principal ，類型分別是 service ，host ， user 。創 建 p r i n c i p a l f o r u s e r“一JJ”>- qaddpr inc系統會提示輸入密碼(password)。請注意密碼本身并不是 key。這里只是為了人類 使用的方便而使用密碼。真正的 key 是算法作用在密碼上產生的一串 byte 序列。創 建 p rin cip a lf orlda p s e r v ice注意這次系統不會提示輸入密碼，因為我們使用了- randkey指定了一個隨機密碼。 因 為 l d a ps er ver是 程 序， 它不會介意 使 用

10、真 正 的 ke y。創 建 princ ipalf o r h ost基于同樣的理由，我們使用了同樣，我們為一個主機生成了一個 principalnd參數創建了 principal 之后，我們需要把key 從 kdc 里取出來 (kdc 知道所有 principal的 key) ，交給對應的對象kerberos世界里，這個key 一般存放在以 keytabda- k 指 定 把k e y 存 放 在個本地文件取得ho的 k e y如果你高興的話，你 甚 至 也 可 以 取 得 u s e r 的 k e y>-q“ktadd-k/tmp /”但是我不建議你這樣做，因為一旦這樣做以后，你

11、先前設置的密碼就失效了。以后 只 能 使 用 此 k e y t a b 文 件 來 通 過 身 份 驗 證 。測試那 么 下 面 的 步 驟 演 示 了 k e r b e r o s 驗 證 用 戶 身 份 。> k i n i t l d a p a d m i n系統會提示輸入密碼，如果一切正常，那么會安靜的返回。實際上，你已經通過了 k e r b e r o s 的 身 份 驗 證 ， 且 獲 得 了 一 個 ServiceTGT(Ticket-GrantingTicket).ServiceTGT 的意義是，在一段時間內，你都 可以用此TGT去請求某些service，比如Id

12、apservice ,而不需要再次通過kerberos 的認證。>kIst這條命令會查看系統當前t i c k e t>kdestor這 條 命 令 會 d e s t r o y 掉 系 統 當 前 ca c he 的 所 有 t i c k et> k i n i tk l d a p a d m i nt / t m p /這里演示了你確實可以直接使用 user的key,而不是口令來通過kerberos的驗證 如果你在前面導出了 userldapadmin 的 key ，可以驗證一下。同時如果你運行 kinitldapadmin ,那么即使輸入了正確的 password

13、 ,系統仍然提示密碼錯誤。L d a p 使 用k e r b e r o sLdap 是如何使用 kerberos 的呢這個過程是這樣的Ldap使用SASL的GSSAP做身份驗證。而SASL - GSS APIK e r b e r o s 。首先要配置l d a p s e r v e r ,然后配置配置ldapserver>vi/etc/openldap/添加一行r o o t d n"uid=l d apadmi n ,cn=g s s api, c n=a u th"注釋掉下面兩行如果有的話# r o o t d n " c n = Ma n a

14、g e r , d c = e x a mp l e , d c = c o m #r oot pw SSHA 7XF8TnEH8Hl v+0XU2Ti qk9bTR32I x t bxi配置k e r b e ros環境>ktut> r k t / tm p / # 讀 取key到內存中> wkt / et c / # 寫key 到系 統的默 認keyt ab 文 件 ，般是 / et c/然后重啟dapserverrviceldaprestklist:Nocredentialscachefound(ticketcacheFILE:/tmp/krb5cc_0)K e r b

15、 e r o s 4 t i c k e t c a c h e/ t m p / t k t 0Y o u h a v e n o t i c k e t s c a c h e dS A S L / G S S A P I a u t h e n t i c a t i o n s t a r t e d l d a p _ s a s l _ i n t e r a c t i v e _ b i n d _ s : L o c a l e r r o r ( - 2 )additionalinfo:SASL(-1):genericfailure:GSSAPIError:Unspecif

16、iedGSSfailure.Minorcodemayprovidemoreinformation(Nocredentialscachefound)>kap#用戶dainkeV a l i d s t a r t i n g E x p i r e s S e r v i c e p r i n c i p a l>kli s t注意，現在多了一條訪問l d a p s e r v i c evalarirsSvicecipa配置dapcli e n t和上面一樣，首先把和文件拷貝到本地初始化h o s t p r i>kli s t6Kerbers或 k e查>t查看&

17、gt; k i n在命>調試和LDAP都是比較復雜的系統。一般出現問題后都要現把問題定位到Idapr b e r o s 。 下 面 是 一 些 查 看 l o g 信 息 的 機 制 。看kda i I-10某 個p riit k p r in c i pc的0f/vancipaa I N a me t k eIogr/ Iog/I是 否有效y ta b F i IePath令行運行sIdap s e r verapdd9- d 9 在 L d a> l d a p s e a r7 T r o指定pclch - d 9 - hu b l ei e nl d a p Se rsh

18、o試級別t 端 調 試v e r A d d r e s so t i n g1. Cl ockskewtoogr eat whi l egett i ngi ni ti al credent i al s在運行kinit - kpr in ci pal - tkeytab后，得至U上面的錯誤。 這是因為時間不同步引起的。 Kerberos 是時間敏感的。所以所有的主機和k e r b e r o s s e r v e r 時 間 一 定 要 同 步 。2. Cannot cont a ct anyKDCf or r equest edr eal m. . . . 在運行 kinit - k p r in c i p a l - t k e y t a b后