1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
193
194
195
196
197
198
199
200
201
202
203
204
205
206
207
208
209
210
211
212
213
214
215
216
217
218
219
220
221
222
223
224
225
226
227
228
229
230
231
232
233
234
235
236
237
238
239
240
241
242
243
244
245
246
247
248
249
250
251
252
253
254
255
256
257
258
259
260
261
262
263
264
265
266
267
268
269
270
271
272
273
274
275
276
277
278
279
280
281
282
283
284
285
286
287
288
289
290
291
292
293
294
295
296
297
298
299
300
301
302
303
304
305
306
307
308
309
310
311
312
313
314
315
316
317
318
319
320
321
322
323
324
325
326
327
328
329
330
331
332
333
334
335
336
337
338
339
340
341
342
343
344
345
346
347
348
349
350
351
352
353
354
355
356
357
358
359
360
361
362
363
364
365
366
367
368
369
370
371
372
373
374
375
376
377
378
379
380
381
382
383
384
385
386
387
388
389
390
391
392
393
394
395
396
397
398
399
400
401
402
403
404
405
406
407
408
409
410
411
412
413
414
415
416
417
418
419
420
421
422
423
424
425
426
427
428
429
430
431
432
433
434
435
436
437
438
439
440
441
442
443
444
445
446
447
448
449
450
451
452
453
454
455
456
457
458
459
460
461
462
463
464
465
466
467
468
469
470
471
472
473
474
475
476
477
478
479
480
481
482
483
484
485
486
487
488
489
490
491
492
493
494
495
496
497
498
499
500
501
502
503
504
505
506
507
508
509
510
511
512
513
514
515
516
517
518
519
520
521
522
523
524
525
526
527
528
529
530
531
532
533
534
535
536
537
538
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html xmlns="http://www.w3.org/1999/xhtml">
<head xmlns="http://www.w3.org/1999/xhtml">
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8" />
<title xmlns="">Kerberos</title>
<link rel="stylesheet" href="../../libs/ubuntu-book.css" type="text/css" />
<link rel="home" href="index.html" title="Guida a Ubuntu Server" />
<link rel="up" href="network-authentication.html" title="Capitolo 6. Autenticazione di rete" />
<link rel="prev" href="samba-ldap.html" title="Samba e LDAP" />
<link rel="next" href="kerberos-ldap.html" title="Kerberos e LDAP" />
<link rel="copyright" href="legal.html" title="Riconoscimenti e licenza" />
</head>
<link href="http://help.ubuntu-it.org/favicon.ico" rel="shortcut icon" />
<body>
<div id="page-border-left-repeat">
<div id="page-border-right-repeat">
<script type="text/javascript">
var gaJsHost = (("https:" == document.location.protocol) ? "https://ssl." : "http://www.");
document.write(unescape("%3Cscript src='" + gaJsHost + "google-analytics.com/ga.js' type='text/javascript'%3E%3C/script%3E"));
</script>
<script type="text/javascript">
try {
var pageTracker = _gat._getTracker("UA-8147493-2");
pageTracker._trackPageview();
} catch(err) {}</script>
<div id="page-border-top-repeat">
<div id="header">
<div id="header-navigation">
<ul>
<li>
<a href="http://www.ubuntu-it.org">Web</a>
</li>
<li>
<a href="http://wiki.ubuntu-it.org">Documentazione</a>
</li>
<li>
<a href="http://forum.ubuntu-it.org">Forum</a>
</li>
<li>
<a href="http://planet.ubuntu-it.org">Planet</a>
</li>
</ul>
</div>
<form action="http://help.ubuntu-it.org/11.04/ubuntu/search.php" id="cse-search-box">
<div>
<input type="text" name="s" size="28" title="search" />
<input type="submit" value="Cerca" title="search" />
</div>
</form>
</div>
</div>
<div>
<div id="bodyarea">
<div class="pagelocation"><a href="http://help.ubuntu-it.org/">Documentazione di Ubuntu</a> > <a href="http://help.ubuntu-it.org/11.04/ubuntu/index.html">Ubuntu 11.04</a> > <span class="breadcrumb-link"><a href="index.html">Guida a Ubuntu Server</a></span> > <span class="breadcrumb-link"><a href="network-authentication.html">Autenticazione di rete</a></span> > <span class="breadcrumb-node">Kerberos</span></div>
<div xmlns="http://www.w3.org/1999/xhtml" class="sect1" title="Kerberos">
<div class="titlepage">
<div>
<div>
<h2 class="title" style="clear: both"><a id="kerberos"></a>Kerberos</h2>
</div>
</div>
</div>
<p><span class="application"><strong>Kerberos</strong></span> è un sistema di autenticazione di rete basato sul principio di un "agente" terzo fidato. Le altre due parti sono l'utente e il servizio a cui l'utente vuole autenticarsi. Non tutti i serivizi e le applicazioni possono usare Kerberos, ma quelle che ne sono in grado, consentono di portare la rete a essere un SSO (Single Sign On).</p>
<p>Questa sezione spiega come installare e configurare un server Kerberos, fornendo alcuni esempi di configurazione.</p>
<div class="sect2" title="Panoramica">
<div class="titlepage">
<div>
<div>
<h3 class="title"><a id="kerberos-overview"></a>Panoramica</h3>
</div>
</div>
</div>
<p>Se si è nuovi di Kerberos, ci sono alcuni termini che è bene comprendere prima di procedere. Molti di questi termini potrebbero essere simili ad altri concetti di altri ambienti più familiari.</p>
<div class="itemizedlist">
<ul class="itemizedlist" type="disc">
<li class="listitem">
<p><span class="emphasis"><em>Principal</em></span>: qualsiasi utente, computer e servizio fornito da server deve essere difinito come "Kerberos Principal".</p>
</li>
<li class="listitem">
<p><span class="emphasis"><em>Istanze</em></span>: usate dai principal di servizio e da quelli amministrativi.</p>
</li>
<li class="listitem">
<p><span class="emphasis"><em>Realms</em></span>: il "reame" di controllo fornito dall'installazione di Kerberos. Di solito il dominio DNS convertito in maiuscolo (EXAMPLE.IT).</p>
</li>
<li class="listitem">
<p><span class="emphasis"><em>Key Distribution Center</em></span> (KDC): consiste di tre parti, un database di tutti i principal, il server di autenticazione e il server che garantisce i ticket. Per ogni reame deve esserci almeno un KDC.</p>
</li>
<li class="listitem">
<p><span class="emphasis"><em>Ticket Granting Ticket</em></span> (TGT): emesso dallo "Authentication Server" (AS), il "Ticket Granting Ticket" è cifrato con la password dell'utente ed è quindi noto solo all'utente e al KDC.</p>
</li>
<li class="listitem">
<p><span class="emphasis"><em>Ticket Granting Server</em></span> (TGS): emette i ticket su richiesta dei client.</p>
</li>
<li class="listitem">
<p><span class="emphasis"><em>Ticket:</em></span>: conferma l'identità dei due principal. Uno è l'utente e l'altro il servizio richiesto. Il ticket stabilisce una chiave di cifratura usata per garantire la sicurezza della comunicazione durante la fase di autenticazione.</p>
</li>
<li class="listitem">
<p><span class="emphasis"><em>File keytab</em></span>: sono file estratti dal KDC e contengono le chiavi di cifratura per un servizio o un host.</p>
</li>
</ul>
</div>
<p>Per riassumenre, un reame ha almeno un KDC, preferibilmente due per ridondanza, che contiene un database di principal. Quando un utente accede in una workstation configurata per l'autenticazione Kerberos, il KDC emette un TGT (Ticket Granting Ticket). Se le informazioni fornite dall'utente corrispondono, l'utente viene autenticato e può richiedere i ticket per i servizi Kerberos da un TGS (Ticket Granting Server). I ticket consentono all'utente di autenticarsi al servizio senza dover fornire nome utente e password.</p>
</div>
<div class="sect2" title="Server Kerberos">
<div class="titlepage">
<div>
<div>
<h3 class="title"><a id="kerberos-server"></a>Server Kerberos</h3>
</div>
</div>
</div>
<div class="sect3" title="Installazione">
<div class="titlepage">
<div>
<div>
<h4 class="title"><a id="kerberos-server-installation"></a>Installazione</h4>
</div>
</div>
</div>
<p>Prima di installare il server Kerberos, è necessario disporre di un server DNS configurato per il proprio dominio. Dato che il reame Kerberos corrisponde al dominio, questa sezione utilizza il dominio <span class="emphasis"><em>example.com</em></span> configurato in <a class="xref" href="dns-configuration.html#dns-primarymaster-configuration" title="Server primario">la sezione chiamata «Server primario»</a>.</p>
<p>Kerberos, inoltre, è un protocollo basato sul tempo. Se l'ora locale tra il client e il server differisce di più di 5 minuti, le workstation non potranno autenticarsi. Per correggere questo problema, tutti gli host dovrebbe sincronizzare il proprio orario usando il protocollo NTP (<span class="emphasis"><em>Network Time Protocol</em></span>). Per maggiori informazioni, consultare <a class="xref" href="NTP.html" title="Sincronizzazione del tempo con NTP">la sezione chiamata «Sincronizzazione del tempo con NTP»</a>.</p>
<p>Il primo passo nell'installare Kerberos consiste nell'installare i pacchetti <span class="application"><strong>krb5-kdc</strong></span> e <span class="application"><strong>krb5-admin-server</strong></span>. In un terminale, digitare:</p>
<pre class="screen">
<span class="command"><strong>sudo apt-get install krb5-kdc krb5-admin-server</strong></span>
</pre>
<p>Alla fine dell'installazione viene chiesto di fornire un nome per i server Kerberos e Admin del reame, che potrebbero essere anche lo stesso server.</p>
<p>Creare il reame con l'utilità <span class="application"><strong>kdb5_newrealm</strong></span>:</p>
<pre class="screen">
<span class="command"><strong>sudo krb5_newrealm</strong></span>
</pre>
</div>
<div class="sect3" title="Configurazione">
<div class="titlepage">
<div>
<div>
<h4 class="title"><a id="kerberos-server-configuration"></a>Configurazione</h4>
</div>
</div>
</div>
<p>Le domande poste durate l'installazione sono usate per impostare il file <code class="filename">/etc/krb5.conf</code>. Per modificare la configurazione del KDC, modificare il file e riavviare il demone <span class="application"><strong>krb5-kdc</strong></span>.</p>
<div class="procedure">
<ol class="procedure" type="1">
<li class="step" title="Passo 1">
<p>Ora che il KDC è in esecuzione, è necessario avere un utente amministratore. È raccomandato usare un nome utente diverso da quello usato giornalmente per le normali operazioni al computer. Usando l'utilità <span class="application"><strong>kadmin.local</strong></span> da un terminale:</p>
<pre class="screen">
<span class="command"><strong>sudo kadmin.local</strong></span>
<code class="computeroutput">Authenticating as principal root/admin@EXAMPLE.COM with password.
kadmin.local:</code><strong class="userinput"><code> addprinc steve/admin</code></strong>
<code class="computeroutput">WARNING: no policy specified for steve/admin@EXAMPLE.COM; defaulting to no policy
Enter password for principal "steve/admin@EXAMPLE.COM":
Re-enter password for principal "steve/admin@EXAMPLE.COM":
Principal "steve/admin@EXAMPLE.COM" created.
kadmin.local:</code><strong class="userinput"><code> quit</code></strong>
</pre>
<p>Nell'esempio precedente <span class="italic">steve</span> è il <span class="emphasis"><em>Principal</em></span>, <span class="italic">/admin</span> è una <span class="emphasis"><em>Instance</em></span> e <span class="italic">@EXAMPLE.COM</span> indica il realm. Il Principal <span class="italic">"giornaliero"</span> è <span class="emphasis"><em>steve@EXAMPLE.COM</em></span> e dovrebbe avere i diritti di un utente normale.</p>
<div class="note" title="Nota" style="margin-left: 0.5in; margin-right: 0.5in;">
<table border="0" summary="Note">
<tr>
<td rowspan="2" align="center" valign="top" width="25">
<img alt="[Nota]" src="../../libs/admon/note.png" />
</td>
<th align="left"></th>
</tr>
<tr>
<td align="left" valign="top">
<p>Sostituire <span class="emphasis"><em>EXAMPLE.COM</em></span> e <span class="emphasis"><em>steve</em></span> con il proprio reame e il nome utente dell'amministratore.</p>
</td>
</tr>
</table>
</div>
</li>
<li class="step" title="Passo 2">
<p>Il nuovo utente amministratore necessita dei permessi ACL (Access Control List) corretti, configurati tramite il file <code class="filename">/etc/krb5kdc/kadm5.acl</code>:</p>
<pre class="programlisting">
steve/admin@EXAMPLE.COM *
</pre>
<p>Questa voce garantisce a <span class="emphasis"><em>steve/admin</em></span> la possibilità di eseguire qualsiasi operazione su tutti i principal nel reame.</p>
</li>
<li class="step" title="Passo 3">
<p>Riavviare <span class="application"><strong>krb5-admin-server</strong></span> affinché le nuove ACL abbiano effetto:</p>
<pre class="screen">
<span class="command"><strong>sudo /etc/init.d/krb5-admin-server restart</strong></span>
</pre>
</li>
<li class="step" title="Passo 4">
<p>Il nuovo utente può essere provato con l'utilità <span class="application"><strong>kinit</strong></span>:</p>
<pre class="screen">
<span class="command"><strong>kinit steve/admin</strong></span>
<code class="computeroutput">steve/admin@EXAMPLE.COM's Password:</code>
</pre>
<p>Una volta inserita la password, usare l'utilità <span class="application"><strong>klist</strong></span> per visualizzare le informazioni riguardo il TGT (Ticket Granting Ticket):</p>
<pre class="screen">
<span class="command"><strong>klist</strong></span>
<code class="computeroutput">Credentials cache: FILE:/tmp/krb5cc_1000
Principal: steve/admin@EXAMPLE.COM
Issued Expires Principal
Jul 13 17:53:34 Jul 14 03:53:34 krbtgt/EXAMPLE.COM@EXAMPLE.COM</code>
</pre>
<p>Potrebbe essere necessario aggiungere una voce nel file <code class="filename">/etc/hosts</code> per il KDC. Per esempio:</p>
<pre class="programlisting">
192.168.0.1 kdc01.example.com kdc01
</pre>
<p>Sostituire <span class="emphasis"><em>192.168.0.1</em></span> con l'indirizzo del KDC.</p>
</li>
<li class="step" title="Passo 5">
<p>Affinché i client possano determinare il corretto KDC per il reame, sono necessari dei record DNS SRV. Aggiungere quanto segue al file <code class="filename">/etc/named/db.example.com</code>:</p>
<pre class="programlisting">
_kerberos._udp.EXAMPLE.COM. IN SRV 1 0 88 kdc01.example.com.
_kerberos._tcp.EXAMPLE.COM. IN SRV 1 0 88 kdc01.example.com.
_kerberos._udp.EXAMPLE.COM. IN SRV 10 0 88 kdc02.example.com.
_kerberos._tcp.EXAMPLE.COM. IN SRV 10 0 88 kdc02.example.com.
_kerberos-adm._tcp.EXAMPLE.COM. IN SRV 1 0 749 kdc01.example.com.
_kpasswd._udp.EXAMPLE.COM. IN SRV 1 0 464 kdc01.example.com.
</pre>
<div class="note" title="Nota" style="margin-left: 0.5in; margin-right: 0.5in;">
<table border="0" summary="Note">
<tr>
<td rowspan="2" align="center" valign="top" width="25">
<img alt="[Nota]" src="../../libs/admon/note.png" />
</td>
<th align="left"></th>
</tr>
<tr>
<td align="left" valign="top">
<p>Sostituire <span class="emphasis"><em>EXAMPLE.COM</em></span>, <span class="emphasis"><em>kdc01</em></span> e <span class="emphasis"><em>kdc02</em></span> con il nome del proprio dominio, il KDC primario e quello secondario.</p>
</td>
</tr>
</table>
</div>
<p>Consultare <a class="xref" href="dns.html" title="Capitolo 7. DNS (Domain Name Service)">Capitolo 7, <i>DNS (Domain Name Service)</i></a> per le istruzioni sulla configurazione di DNS.</p>
</li>
</ol>
</div>
<p>Il reame Kerberos è ora pronto per autenticare i client.</p>
</div>
</div>
<div class="sect2" title="KDC secondario">
<div class="titlepage">
<div>
<div>
<h3 class="title"><a id="kerberos-secondary-kdc"></a>KDC secondario</h3>
</div>
</div>
</div>
<p>Una volta ottenuto un KDC all'interno della rete, è utile avere anche un KDC secondario nel caso in cui quello primario non fosse più disponibile.</p>
<div class="procedure">
<ol class="procedure" type="1">
<li class="step" title="Passo 1">
<p>Per prima cosa installare il pacchetto e quando vengono chiesti i nomi di Kerberos e Admin, inserire il nome del KDC primario:</p>
<pre class="screen">
<span class="command"><strong>sudo apt-get install krb5-kdc krb5-admin-server</strong></span>
</pre>
</li>
<li class="step" title="Passo 2">
<p>Una volta installato il pacchetto, creare il KDC secondario. Da un terminale, digitare:</p>
<pre class="screen">
<span class="command"><strong>kadmin -q "addprinc -randkey host/kdc02.example.com"</strong></span>
</pre>
<div class="note" title="Nota" style="margin-left: 0.5in; margin-right: 0.5in;">
<table border="0" summary="Note">
<tr>
<td rowspan="2" align="center" valign="top" width="25">
<img alt="[Nota]" src="../../libs/admon/note.png" />
</td>
<th align="left"></th>
</tr>
<tr>
<td align="left" valign="top">
<p>Una volta eseguiti i comandi <span class="application"><strong>kadmin</strong></span> viene chiesto la propria password <span class="emphasis"><em>NOME_UTENTE/ADMIN@EXAMPLE.COM</em></span>.</p>
</td>
</tr>
</table>
</div>
</li>
<li class="step" title="Passo 3">
<p>Estrarre il file <span class="emphasis"><em>keytab</em></span>_</p>
<pre class="screen">
<span class="command"><strong>kadmin -q "ktadd -k keytab.kdc02 host/kdc02.example.com"</strong></span>
</pre>
</li>
<li class="step" title="Passo 4">
<p>Dovrebbe esserci un file <code class="filename">keytab.kdc02</code> nella directory corrente, spostare il file in <code class="filename">/etc/krb5.keytab</code>:</p>
<pre class="screen">
<span class="command"><strong>sudo mv keytab.kdc02 /etc/krb5.keytab</strong></span>
</pre>
<div class="note" title="Nota" style="margin-left: 0.5in; margin-right: 0.5in;">
<table border="0" summary="Note">
<tr>
<td rowspan="2" align="center" valign="top" width="25">
<img alt="[Nota]" src="../../libs/admon/note.png" />
</td>
<th align="left"></th>
</tr>
<tr>
<td align="left" valign="top">
<p>Se il percorso a <code class="filename">keytab.kdc02</code> è diverso, modificarlo in base al proprio caso.</p>
</td>
</tr>
</table>
</div>
<p>È possibile elencare tutti i principal presenti in un file Keytab, utile durante la risoluzione dei problemi, con l'utilità <span class="application"><strong>klist</strong></span>:</p>
<pre class="screen">
<span class="command"><strong>sudo klist -k /etc/krb5.keytab</strong></span>
</pre>
</li>
<li class="step" title="Passo 5">
<p>Dovrebbe esserci un file <code class="filename">kpropd.acl</code> in ogni KDC che presenti tutti i KDC del reame. Per esempio, sia sul KDC primario che secondario, creare un file <code class="filename">/etc/krb5kdc/kpropd.acl</code>:</p>
<pre class="programlisting">
host/kdc01.example.com@EXAMPLE.COM
host/kdc02.example.com@EXAMPLE.COM
</pre>
</li>
<li class="step" title="Passo 6">
<p>Creare un database vuoto nel <span class="emphasis"><em>KDC secondario</em></span>:</p>
<pre class="screen">
<span class="command"><strong>sudo kdb5_util -s create</strong></span>
</pre>
</li>
<li class="step" title="Passo 7">
<p>Avviare il demone <span class="application"><strong>kpropd</strong></span> che resterà in ascolto per le connessioni dall'utilità <span class="application"><strong>kprop</strong></span>. <span class="application"><strong>kprop</strong></span> è usato per trasferire i file di dump:</p>
<pre class="screen">
<span class="command"><strong>sudo kpropd -S</strong></span>
</pre>
</li>
<li class="step" title="Passo 8">
<p>Da un terminale dal <span class="emphasis"><em>KDC primario</em></span>, creare un file di dump del database principale:</p>
<pre class="screen">
<span class="command"><strong>sudo kdb5_util dump /var/lib/krb5kdc/dump</strong></span>
</pre>
</li>
<li class="step" title="Passo 9">
<p>Estrarre il <span class="emphasis"><em>keytab</em></span> del KDC primario e copiarlo in <code class="filename">/etc/krb5.keytab</code>:</p>
<pre class="screen">
<span class="command"><strong>kadmin -q "ktadd -k keytab.kdc01 host/kdc01.example.com"</strong></span>
<span class="command"><strong>sudo mv keytab.kdc01 /etc/krb5.keytab</strong></span>
</pre>
<div class="note" title="Nota" style="margin-left: 0.5in; margin-right: 0.5in;">
<table border="0" summary="Note">
<tr>
<td rowspan="2" align="center" valign="top" width="25">
<img alt="[Nota]" src="../../libs/admon/note.png" />
</td>
<th align="left"></th>
</tr>
<tr>
<td align="left" valign="top">
<p>Assicurarsi che ci sia un <span class="emphasis"><em>host</em></span> per <span class="emphasis"><em>kdc01.example.com</em></span> prima di estrarre il keytab.</p>
</td>
</tr>
</table>
</div>
</li>
<li class="step" title="Passo 10">
<p>Usando l'utilità <span class="application"><strong>kprop</strong></span> eseguire il push del database sul KDC secondario:</p>
<pre class="screen">
<span class="command"><strong>sudo kprop -r EXAMPLE.COM -f /var/lib/krb5kdc/dump kdc02.example.com</strong></span>
</pre>
<div class="note" title="Nota" style="margin-left: 0.5in; margin-right: 0.5in;">
<table border="0" summary="Note">
<tr>
<td rowspan="2" align="center" valign="top" width="25">
<img alt="[Nota]" src="../../libs/admon/note.png" />
</td>
<th align="left"></th>
</tr>
<tr>
<td align="left" valign="top">
<p>Dovrebbe essere visualizzato un messaggio di <span class="emphasis"><em>SUCCEEDED</em></span> se la propagazione è andata a buon fine. Se si è verificato un errore, per maggiori informazioni, controllare <code class="filename">/var/log/syslog</code> sul KDC secondario.</p>
</td>
</tr>
</table>
</div>
<p>Potrebbe esser utile creare anche un'attività <span class="application"><strong>cron</strong></span> per aggiornare periodicamente il database sul KDC secondario. Per esempio, il comando seguente esegue il push del database ogni ora:</p>
<pre class="programlisting">
# m h dom mon dow command
0 * * * * /usr/sbin/kdb5_util dump /var/lib/krb5kdc/dump && /usr/sbin/kprop -r EXAMPLE.COM -f /var/lib/krb5kdc/dump kdc02.example.com
</pre>
</li>
<li class="step" title="Passo 11">
<p>Sempre nel <span class="emphasis"><em>KDC secondario</em></span>, creare un file <span class="emphasis"><em>stash</em></span> in cui salvare la chiave principale di Kerberos:</p>
<pre class="screen">
<span class="command"><strong>sudo kdb5_util stash</strong></span>
</pre>
</li>
<li class="step" title="Passo 12">
<p>Avviare il demone <span class="application"><strong>krb5-kdc</strong></span> sul KDC secondario:</p>
<pre class="screen">
<span class="command"><strong>sudo /etc/init.d/krb5-kdc start</strong></span>
</pre>
</li>
</ol>
</div>
<p>Il <span class="emphasis"><em>KDC secondario</em></span> dovrebbe ora essere in grado di emettere i ticket per il reame. È possibile verificare ciò fermando il demone <span class="application"><strong>krb5-kdc</strong></span> sul KDC primario e usando <span class="application"><strong>kinit</strong></span> per richiedere un ticket. Se tutto funziona correttamente, si dovrebbe ricevere un ticket dal KDC secondario.</p>
</div>
<div class="sect2" title="Client Kerberos Linux">
<div class="titlepage">
<div>
<div>
<h3 class="title"><a id="kerberos-linux-client"></a>Client Kerberos Linux</h3>
</div>
</div>
</div>
<p>Questa sezione spiega come configurare un sistema Linux come un client <span class="application"><strong>Kerberos</strong></span> consentendo l'accesso a qualsiasi servizio Kerberos ad accesso effettuato correttamente da parte degli utenti.</p>
<div class="sect3" title="Installazione">
<div class="titlepage">
<div>
<div>
<h4 class="title"><a id="kerberos-client-installation"></a>Installazione</h4>
</div>
</div>
</div>
<p>Per autenticarsi in un reame Kerberos sono necessari i pacchetti <span class="application"><strong>krb5-user</strong></span> e <span class="application"><strong>libpam-krb5</strong></span> oltre ad altri non strettamente necessari, ma che semplificano molto la gestione. Per installare questi pacchetti, digitare:</p>
<pre class="screen">
<span class="command"><strong>sudo apt-get install krb5-user libpam-krb5 libpam-ccreds auth-client-config</strong></span>
</pre>
<p>Il pacchetto <span class="application"><strong>auth-client-config</strong></span> consente una semplice configurazione dell'autenticazione PAM per diverse sorgenti e <span class="application"><strong>libpam-ccreds</strong></span> memorizza le credenziali di autenticazione consentendo di effettuare l'accesso anche se il KDC non è disponibile. Questo pacchetto è utile anche per i computer portatili che possono autenticarsi su reti aziendali, ma devono essere in grado di farlo anche al di fuori della rete.</p>
</div>
<div class="sect3" title="Configurazione">
<div class="titlepage">
<div>
<div>
<h4 class="title"><a id="kerberos-client-configuration"></a>Configurazione</h4>
</div>
</div>
</div>
<p>Per configurare il client, in un terminale digitare:</p>
<pre class="screen">
<span class="command"><strong>sudo dpkg-reconfigure krb5-config</strong></span>
</pre>
<p>Viene quindi chiesto di inserire il nome del reame Kerberos. Inoltre, se non si dispone di un DNS configurato con i record <span class="emphasis"><em>SRV</em></span> di Kerberos, viene richiesto il nome dell'host del KDC e del server amministrativo.</p>
<p>Il comando <span class="application"><strong>dpkg-reconfigure</strong></span> aggiunge delle voci al file <code class="filename">/etc/krb5.conf</code> del proprio reame. Dovrebbero essere disponibili delle voci simili alle seguenti:</p>
<pre class="programlisting">
[libdefaults]
default_realm = EXAMPLE.COM
...
[realms]
EXAMPLE.COM = }
kdc = 192.168.0.1
admin_server = 192.168.0.1
}
</pre>
<p>Per avviare la configurazione, richiedere un ticket usando l'utilità <span class="application"><strong>kinit</strong></span>. Per esempio:</p>
<pre class="screen">
<span class="command"><strong>kinit steve@EXAMPLE.COM</strong></span>
<code class="computeroutput">Password for steve@EXAMPLE.COM:</code>
</pre>
<p>Una volta ottenuto un ticket, i dettagli possono essere visualizzati usando <span class="application"><strong>klist</strong></span>:</p>
<pre class="screen">
<span class="command"><strong>klist</strong></span>
<code class="computeroutput">Ticket cache: FILE:/tmp/krb5cc_1000
Default principal: steve@EXAMPLE.COM
Valid starting Expires Service principal
07/24/08 05:18:56 07/24/08 15:18:56 krbtgt/EXAMPLE.COM@EXAMPLE.COM
renew until 07/25/08 05:18:57
Kerberos 4 ticket cache: /tmp/tkt1000
klist: You have no tickets cached</code>
</pre>
<p>Usare <span class="application"><strong>auth-client-config</strong></span> per configurare il modulo <span class="application"><strong>libpam-krb5</strong></span> affinché richieda un ticket durante la fase di accesso:</p>
<pre class="screen">
<span class="command"><strong>sudo auth-client-config -a -p kerberos_example</strong></span>
</pre>
<p>Una volta autenticati con successo, si dovrebbe ricevere un ticket.</p>
</div>
</div>
<div class="sect2" title="Risorse">
<div class="titlepage">
<div>
<div>
<h3 class="title"><a id="kerberos-resources"></a>Risorse</h3>
</div>
</div>
</div>
<div class="itemizedlist">
<ul class="itemizedlist" type="disc">
<li class="listitem">
<p>Per maggiori informazioni riguardo Kerberos, consultare il sito di <a class="ulink" href="http://web.mit.edu/Kerberos/" target="_top">Kerberos presso il MIT</a>.</p>
</li>
<li class="listitem">
<p>
The <a class="ulink" href="https://help.ubuntu.com/community/Kerberos" target="_top">Ubuntu Wiki Kerberos</a> page has more details.
</p>
</li>
<li class="listitem">
<p>Il libro <a class="ulink" href="http://oreilly.com/catalog/9780596004033/" target="_top">Kerberos: The Definitive Guide</a> di O'Reilly è un ottimo punto di riferimento per impostare un server Kerberos.</p>
</li>
<li class="listitem">
<p>Inoltre, è possibile chiedere informazioni nel canale IRC <span class="emphasis"><em>#ubuntu-server</em></span> su <a class="ulink" href="http://freenode.net/" target="_top">Freenode</a>.</p>
</li>
</ul>
</div>
</div>
</div>
<div xmlns="http://www.w3.org/1999/xhtml" class="navfooter">
<hr />
<table width="100%" summary="Navigation footer">
<tr>
<td width="40%" align="left"><a accesskey="p" href="samba-ldap.html"><img src="../../libs/navig/prev.png" alt="Indietro" /></a> </td>
<td width="20%" align="center">
<a accesskey="u" href="network-authentication.html">
<img src="../../libs/navig/up.png" alt="Risali" />
</a>
</td>
<td width="40%" align="right"> <a accesskey="n" href="kerberos-ldap.html"><img src="../../libs/navig/next.png" alt="Avanti" /></a></td>
</tr>
<tr>
<td width="40%" align="left" valign="top">Samba e LDAP </td>
<td width="20%" align="center">
<a accesskey="h" href="index.html">
<img src="../../libs/navig/home.png" alt="Partenza" />
</a>
</td>
<td width="40%" align="right" valign="top"> Kerberos e LDAP</td>
</tr>
</table>
</div>
</div>
</div>
<div id="page-border-bottom-repeat">
<div id="footer">
<div id="copyright">
Ubuntu e Canonical sono marchi registrati da Canonical Ltd.
</div>
</div>
</div>
<div id="page-border-right-top"></div>
<div id="page-border-right-bottom"></div>
</div>
<div id="page-border-left-top"></div>
<div id="page-border-left-bottom"></div>
</div>
<p></p>
</body>
</html>