Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

4.3. 使用 authconfig配置 Kerberos (使用 LDAP 或 NIS)

LDAP 和 NIS 验证存储均支持 Kerberos 验证方法。使用 Kerberos 有几个优点:
  • 它使用安全层进行通信,同时仍然允许通过标准端口进行连接。
  • 它自动将凭证缓存与 SSSD 搭配使用,允许离线登录。
注意
使用 Kerberos 身份验证需要 krb5-libskrb5-workstation 软件包。

4.3.1. 使用 UI 配置 Kerberos 身份验证

身份验证方法 下拉菜单中的 Kerberos 密码 选项会自动打开连接到 Kerberos 域所需的字段。

图 4.2. Kerberos 字段

Kerberos 字段
  • realm 提供 Kerberos 服务器的域的名称。realm 是使用 Kerberos 的网络,由一个或多个 关键分发中心( KDC)和潜在的大量客户端组成。
  • KDC 提供以逗号分隔的服务器列表,用于发出 Kerberos 票据。
  • 管理服务器 提供了在域中运行 kadmind 进程的管理服务器列表。
  • (可选)使用 DNS 解析服务器主机名并在域中查找其他 KDC。

4.3.2. 从命令行配置 Kerberos 身份验证

LDAP 和 NIS 允许使用 Kerberos 身份验证代替其原生验证机制。至少,使用 Kerberos 身份验证时,需要指定域、KDC 和管理服务器。还可以使用 DNS 解析客户端名称并查找额外的管理服务器。
[root@server ~]# authconfig NIS or LDAP options --enablekrb5 --krb5realm EXAMPLE --krb5kdc kdc.example.com:88,server.example.com:88 --krb5adminserver server.example.com:749 --enablekrb5kdcdns --enablekrb5realmdns --update