Kerberos

Z HelpDesk
Verze z 15. 8. 2023, 13:36, kterou vytvořil Svamberg (diskuse | příspěvky) (zmena tridy tabulka na wikitable pro tabulky (automaticky))

Kerberos

Úvod

Kerberos je centrální autentizační služba ZČU. Je založen na principu důvěryhodné třetí strany (KDC serveru). Kdy existuje důvěryhodný autentizační server, který na základě znalosti sdíleného tajemství(hesla) vydá uživateli časově omezené pověření(lístek neboli ticket). Pomocí tohoto pověření mohou uživatelé přistupovat k různým dalším službám. Server poskytující danou službu si pouze ověří platnost lístku uživatele u KDC serveru a tím získá věrohodnou informaci o identitě přistupujícího uživatele. Získáním pověření je prakticky realizováno jednotné přihlášení do více aplikaci. Pokud byl uživateli vydán na základě jména a hesla lístek, dále se již prokazuje tímto lístkem a nemusí stále psát heslo. Navíc je možné si lístky nechat přeposílat i na další servery a procházet tak ze serveru na server bez zadávání hesla. Značná výhoda tohoto systému spočívá také v tom, že heslo je uloženo pouze na jednom důvěryhodném místě a je tudíž pro všechny služby jednotné. Další výhodou je snížení bezpečnostního rizika, tím že jednotlivé služby nepracují přímo s heslem, ale pouze s lístkem s časově omezenou platností.

Kerberos Infrastruktura

KDC servery

Infrastruktura služby kerberos je založena na jednom Master serveru a třech geograficky různě rozmístěných replikách. Master server zajišťuje služby spojené s administrací konta (změna hesla, nastavení parametrů, zakládání, ...) a replikaci databáze na podřízené KDC servery (KDC repliky). Repliky pak zajišťují vlastní autentizaci uživatelů a vydávání pověření.

Server Typ Poskytující služby Porty
kerberos-adm.zcu.cz Master kadmin
kdc
krep
TCP 749
TCP/UDP 88

kerberos1.zcu.cz Replika kdc
krb524
kx509
TCP/UDP 88
UDP 4444
UDP 9878
kerberos2.zcu.cz Replika kdc
krb524
kx509
TCP/UDP 88
UDP 4444
UDP 9878
kerberos3.zcu.cz Replika kdc
krb524
kx509
TCP/UDP 88
UDP 4444
UDP 9878

Tickety čili pověření

Po úspěšném ověření jménem heslem KDC server zašle uživateli bezpečným kanálem tzv. TGT (Ticket granting ticket) lístek. Pomocí TGT lístku je pak možné získat další pověření na jednotlivé služby.

Získaný lístek má následující vlastnosti:

  • Standardní doba platnosti je 8 hodin
  • Standardní doba po kterou je možné obnovovat platnost lístku je 14 dní
  • Lístek je možné forwardovat

Konkrétní vlastnosti se mohou lišit podle nastavení konfiguračního souboru. Pokud používáte doporučený krb5.conf, nebo servery pod správou CIVu, bude nastavení odpovídat.


Platnost hesla

Politika sítě WebNET je nastavena tak, že si každý uživatel musí pravidelně měnit své přístupové heslo. Systém je nastaven tak, že pokud používá uživatel stejné heslo déle než 6 měsíců je informován o blížícím se konci platnosti hesla. Pokud si heslo nezmění je po dalších dvou měsících heslo zablokováno a to tak, že již není možné se přihlásit, ale je možné si heslo po dobu 4 měsíců změnit. Pokud ani pak není heslo změněno je konto automaticky zalokováno zcela a pro odblokování je nutné se dostavit na oddělení HelpDesk.

Platnost hesla:

  • 0 - 6 měsíc -- běžná práce s kontem
  • 7 - 8 měsíc -- konto funkční, jsou generována upozornění na blížící se konec platnosti
  • 9 - 12 měsíc -- Přihlášení znemožněno, hesllo je možné změnit pomocí http://heslo.zcu.cz
  • 12 - měsíc -- konto zablokováno, nutná návštěva HelpDesku

Instalace klienta Kerberos

Instalace Linux

V operačním systému Linux je Kerberos většinou podporovám přímo z balíčků. Pro správnou funkci je potřeba nainstalovat následující balíčky a nahrát příslušný konfigurační soubor.

  • krb5-user
  • openafs-krb5

Volitelně je možné nainntalovat i následující balíčky pro podporu kerberizovaných klientů(ftp, telnet, ssh)

  • krb5-clients
  • ssh-krb5

Nejdůležitějším krokem je instalace příslušného konfiguracního souboru. Příslušný konfigurační soubor můžete stáhněte z adresy http://download.zcu.cz/public/config/krb5/krb5.conf, nebo zkopírujte z AFS /afs/zcu.cz/common/etc/krb5.conf do adresáře /etc.


Instalace Windows

Pokud máte již na vašem počítači naistalovanou starší verzi Kerberos klienta, je nutné jí nejdříve odinstalovat. Odinstalační procedura bude pravděpodobně vyžadovat restart systému. Doporučujeme instalovat instalační balíček obsahující OpenAFS kient, MIT Kerberos for Windows i Network Identity Manager včetně konfigurace pro použití na ZČU ze stránky AFS/OpenAFS klient, pouze v případě nefunkčnosti použijte "ruční" instalaci.

Vlastní instalaci provedete následující kroky:

  1. Stáhnout a spustit instalátor Kerberos for Windows (i386) nebo balíček pro 64 bitovou verzi (který provede kompletní instalaci a nic z následujících kroků již není potřeba provádět - "ruční" instalace je v tomto případě složitá) Kerberos for Windows (x64)
  2. Vyberte jazyk, pokračujte tlačítkem Next až k potvrzení licence tlačítkem I Agree
  3. Při výběru komponent vystačíte s defaultní volbou.
    Kfw 1.png
  4. Zvolte cestu, kam bude Kerberos naistalován. Ve většině případů vystačíte s nabízenou volbou.
    Kfw 2.png
  5. Nyní vyberte místo odkud si instalátor stáhne konfigurační soubory. Zaškrtněte Download from web path a zkopírujte následující adresu
    http://download.zcu.cz/public/config/krb5/
    Kfw 3.png
  6. Zaškrtnutím následují volby se bude atomaticky při startu spouštět Network Identity Manager, který vám přehledně graficky pomůže se správou ticketů.
    Kfw 4a.png
  7. Pro dokončení instalace je nutný restart.

Základní použití

Odkazy