n  KDC отвечает специальным мандатом на самого себя, в составе которого, как и в случае обычного сеансового мандата, находятся две копии сеансового ключа, одна из них зашифрована секретным ключом клиента, вторая – KDC.

n  Клиент расшифровывает сеансовый ключ, после чего для связи между ним и KDC используется именно он, а секретный ключ клиента удаляется из памяти.

Теперь система связи между клиентом и сервером выглядит так:

n  Клиент извлекает из TGT сеансовый ключ для связи с KDC и отправляет запрос на сеансовый мандат для связи с сервером и зашифрованные им TGT с собственным аутентификатором.

n  Сервер в случае успеха отвечает требуемым сеансовым мандатом, сеансовый ключ из которого будет впоследствии использован клиентом для связи с сервером.

Как видите, для нормальной работы этой системы аутентификации обязательно требуется синхронизация времени на всех ее элементах. В журнале «Системный администратор» №4 за 2004 год была подробная статья Михаила Платова о настройке сервера времени «NTP – атомные часы на каждом столе».

Настройка Kerberos

Для UNIX-систем существует две реализации kerberos5, совместимых со стандартом: Heimdal и MIT. В настройке они отличаются не очень сильно, но второй гораздо более популярен, поэтому будем рассматривать именно его. Учтите, что на старых версиях MIT Kerberos (меньших или равных 1.3.1) возникали проблемы с Windows Kerberos Service на Win2003, поэтому рекомендую использовать последнюю доступную на данный момент версию.

В качестве открыто указанного имени клиента в описываемой связке Kerberos+Samba+AD используется доменное имя машины. Но зачастую бывает так, что ее реальное DNS-имя не соответствует тому, кем она себя считает. Предположим, что nslookup говорит нам следующее:

C:>nslookup 192.168.1.14

Server:  dns.domain.ru

Address:  192.168.1.10

Name:    nix.domain.ru

Address:  192.168.1.14

Тогда в переменной окружения HOSTNAME UNIX-машины должна находиться строчка «nix». В моем случае это потребовало исправления файла /etc/hostname.

Не забудьте проверить, видят ли машины DNS-имена друг друга и нет ли проблем с firewall.

Теперь можно приступить к созданию конфигурационного файла для библиотек kerberos, находящегося по адресу /etc/krb5.conf. Сам файл состоит из пяти секций, каждая из которых может включать в себя либо имена и значения отдельных переменных, например:

[section]

key = value

boolean1 = true

boolean2 = false

либо информацию, объединенную в структуру с определенным именем:

[section]