Kerberos
Kerberos
Úvod
Kerberos je centrální autentizační služba ZČU. Je založen na principu důvěryhodné třetí strany (KDC serveru). Kdy existuje důvěryhodný autentizační server, který na základě znalosti sdíleného tajemství(hesla) vydá uživateli časově omezené pověření(lístek neboli ticket). Pomocí tohoto pověření mohou uživatelé přistupovat k různým dalším službám. Server poskytující danou službu si pouze ověří platnost lístku uživatele u KDC serveru a tím získá věrohodnou informaci o identitě přistupujícího uživatele. Získáním pověření je prakticky realizováno jednotné přihlášení do více aplikaci. Pokud byl uživateli vydán na základě jména a hesla lístek, dále se již prokazuje tímto lístkem a nemusí stále psát heslo. Navíc je možné si lístky nechat přeposílat i na další servery a procházet tak ze serveru na server bez zadávání hesla. Značná výhoda tohoto systému spočívá také v tom, že heslo je uloženo pouze na jednom důvěryhodném místě a je tudíž pro všechny služby jednotné. Další výhodou je snížení bezpečnostního rizika, tím že jednotlivé služby nepracují přímo s heslem, ale pouze s lístkem s časově omezenou platností.
Kerberos Infrastruktura
KDC servery
Infrastruktura služby kerberos je založena na jednom Master serveru a třech geograficky různě rozmístěných replikách. Master server zajišťuje služby spojené s administrací konta (změna hesla, nastavení parametrů, zakládání, ...) a replikaci databáze na podřízené KDC servery (KDC repliky). Repliky pak zajišťují vlastní autentizaci uživatelů a vydávání pověření.
Server | Typ | Poskytující služby | Porty |
---|---|---|---|
kerberos-adm.zcu.cz | Master | kadmin kdc krep |
TCP 749 TCP/UDP 88 |
kerberos1.zcu.cz | Replika | kdc krb524 kx509 |
TCP/UDP 88 UDP 4444 UDP 9878 |
kerberos2.zcu.cz | Replika | kdc krb524 kx509 |
TCP/UDP 88 UDP 4444 UDP 9878 |
kerberos3.zcu.cz | Replika | kdc krb524 kx509 |
TCP/UDP 88 UDP 4444 UDP 9878 |
Tickety čili pověření
Po úspěšném ověření jménem heslem KDC server zašle uživateli bezpečným kanálem tzv. TGT (Ticket granting ticket) lístek. Pomocí TGT lístku je pak možné získat další pověření na jednotlivé služby.
Získaný lístek má následující vlastnosti:
- Standardní doba platnosti je 8 hodin
- Standardní doba po kterou je možné obnovovat platnost lístku je 14 dní
- Lístek je možné forwardovat
Konkrétní vlastnosti se mohou lišit podle nastavení konfiguračního souboru. Pokud používáte doporučený krb5.conf, nebo servery pod správou CIVu, bude nastavení odpovídat.
Platnost hesla
Politika sítě WebNET je nastavena tak, že si každý uživatel musí pravidelně měnit své přístupové heslo. Systém je nastaven tak, že pokud používá uživatel stejné heslo déle než 6 měsíců je informován o blížícím se konci platnosti hesla. Pokud si heslo nezmění je po dalších dvou měsících heslo zablokováno a to tak, že již není možné se přihlásit, ale je možné si heslo po dobu 4 měsíců změnit. Pokud ani pak není heslo změněno je konto automaticky zalokováno zcela a pro odblokování je nutné se dostavit na oddělení HelpDesk.
Platnost hesla:
- 0 - 6 měsíc -- běžná práce s kontem
- 7 - 8 měsíc -- konto funkční, jsou generována upozornění na blížící se konec platnosti
- 9 - 12 měsíc -- Přihlášení znemožněno, hesllo je možné změnit pomocí http://heslo.zcu.cz
- 12 - měsíc -- konto zablokováno, nutná návštěva HelpDesku
Instalace klienta Kerberos
Instalace Linux
V operačním systému Linux je Kerberos většinou podporovám přímo z balíčků. Pro správnou funkci je potřeba nainstalovat následující balíčky a nahrát příslušný konfigurační soubor.
- krb5-user
- openafs-krb5
Volitelně je možné nainntalovat i následující balíčky pro podporu kerberizovaných klientů(ftp, telnet, ssh)
- krb5-clients
- ssh-krb5
Nejdůležitějším krokem je instalace příslušného konfiguracního souboru. Příslušný konfigurační soubor můžete stáhněte z adresy http://download.zcu.cz/public/config/krb5/krb5.conf, nebo zkopírujte z AFS /afs/zcu.cz/common/etc/krb5.conf do adresáře /etc.
Instalace Windows
Pokud máte již na vašem počítači naistalovanou starší verzi Kerberos klienta, je nutné jí nejdříve odinstalovat. Odinstalační procedura bude pravděpodobně vyžadovat restart systému. Doporučujeme instalovat instalační balíček obsahující OpenAFS kient, MIT Kerberos for Windows i Network Identity Manager včetně konfigurace pro použití na ZČU ze stránky AFS/OpenAFS klient, pouze v případě nefunkčnosti použijte "ruční" instalaci.
Vlastní instalaci provedete následující kroky:
- Stáhnout a spustit instalátor Kerberos for Windows (i386) nebo balíček pro 64 bitovou verzi (který provede kompletní instalaci a nic z následujících kroků již není potřeba provádět - "ruční" instalace je v tomto případě složitá) Kerberos for Windows (x64)
- Vyberte jazyk, pokračujte tlačítkem Next až k potvrzení licence tlačítkem I Agree
- Při výběru komponent vystačíte s defaultní volbou.
- Zvolte cestu, kam bude Kerberos naistalován. Ve většině případů vystačíte s nabízenou volbou.
- Nyní vyberte místo odkud si instalátor stáhne konfigurační soubory. Zaškrtněte Download from web path a zkopírujte následující adresu
http://download.zcu.cz/public/config/krb5/
- Zaškrtnutím následují volby se bude atomaticky při startu spouštět Network Identity Manager, který vám přehledně graficky pomůže se správou ticketů.
- Pro dokončení instalace je nutný restart.