答案:搭建Kerberos KDC需安装服务组件、配置krb5.conf、初始化数据库并启动服务,创建管理员主体及权限,为客户端生成密钥表;客户端安装工具、同步时间、复制配置文件并测试票据获取,结合PAM实现SSH等服务的集中认证,确保网络、防火墙与DNS一致。
在企业级 Linux 环境中,集中认证是保障系统安全的关键环节。Kerberos 作为一种成熟、安全的网络认证协议,通过密钥加密技术实现双向身份验证,有效防止密码在网络中明文传输。使用 Kerberos 可构建一个可信的集中式认证中心(KDC),为多台服务器和客户端提供统一的身份管理。下面介绍如何搭建 Kerberos KDC 服务并配置客户端接入。
部署 Kerberos 认证服务器(KDC)
Kerberos 的核心是密钥分发中心(Key Distribution Center, KDC),它包含认证服务器(AS)、票据授予服务器(TGS)以及数据库存储主体密钥。
以 CentOS/RHEL 系统为例:
- 安装 Kerberos 服务组件:
yum install krb5-server krb5-libs krb5-auth-dialog - 主要配置文件位于 /var/kerberos/krb5kdc/kdc.conf 和 /etc/krb5.conf。
- 编辑 /etc/krb5.conf,设置域名与 KDC 信息:
default_realm = EXAMPLE.COM
dns_lookup_realm = false
dns_lookup_kdc = false
ticket_lifetime = 24h
renew_lifetime = 7d
forwardable = true
[realms]
EXAMPLE.COM = {
kdc = kdc.example.com
admin_server = kdc.example.com
}
[domain_realm]
.example.com = EXAMPLE.COM
example.com = EXAMPLE.COM
- 初始化 Kerberos 数据库:
kdb5_util create -s
该命令会创建默认管理员用户和数据库,-s 表示生成 stash 文件用于开机自动解密数据库。 - 启动并启用服务:
systemctl enable krb5kdc kadmin
systemctl start krb5kdc kadmin - 添加管理员权限主体:
kadmin.local 进入管理界面,执行:
addprinc admin/admin@EXAMPLE.COM
并赋予其*/admin@EXAMPLE.COM 的权限(编辑 /var/kerberos/krb5kdc/kadm5.acl):
*
创建服务主体并导出密钥表
每台需要参与认证的服务(如 SSH、NFS)都必须在 KDC 中注册对应的服务主体(service principal)。
- 进入 kadmin 管理工具:
kadmin.local - 为某台主机创建 host 主体:
addprinc -randkey host/client1.example.com@EXAMPLE.COM - 生成密钥表(keytab)文件并下载到对应客户端:
ktadd -k /tmp/host.client1.keytab host/client1.example.com@EXAMPLE.COM - 将 keytab 文件安全复制到目标主机的 /etc/krb5.keytab,并设置权限:
chmod 600 /etc/krb5.keytab
chown root:root /etc/krb5.keytab
配置客户端接入 Kerberos 认证
客户端需安装必要的软件包并正确配置,才能向 KDC 请求票据。
- 安装客户端工具:
yum install krb5-workstation pam_krb5 - 同步时间:确保所有机器时间一致(误差通常不超过 5 分钟),建议部署 NTP 服务。
- 复制服务器端的 /etc/krb5.conf 到客户端,保证域和 KDC 配置一致。
- 测试连接:
kinit user@EXAMPLE.COM
输入密码后使用 klist 查看是否成功获取 TGT 票据。 - 若已配置 host keytab,可实现免密登录(如 SSH):
在 sshd_config 中启用 GSSAPI:
GSSAPIAuthentication yes
GSSAPICleanupCredentials yes
并在客户端 ssh 配置中打开 GSSAPIAuthenticatio
集成 PAM 实现登录认证
通过 PAM 模块,可让本地或远程登录(如 SSH)使用 Kerberos 身份验证。
- 运行 authconfig-tui 或手动编辑 /etc/pam.d/system-auth。
- 在 auth 和 account 类型中加入 kerberos 支持:
account [default=bad success=ok user_unknown=ignore] pam_krb5.so
- 注意:首次登录时若用户主目录不存在,可通过 autofs 或配置 pam_mkhomedir.so 自动创建。
基本上就这些。只要 KDC 稳定运行、时间同步准确、密钥表保护得当,Kerberos 就能为企业环境提供可靠的身份认证基础。不复杂但容易忽略的是网络延迟、防火墙规则(需开放 UDP 88 和 749 端口)以及 DNS 解析一致性。
