Теперь все готово для настройки Kerberos.

Оффлайновое администрирование

В первую очередь подготовим мастер-ключ.

# kstash

Master key:

Verifying - Master key:

kstash: writing key to `/var/heimdal/m-key'

Проверим, что появился соответствующий файл.

# ls -als /var/heimdal

   4 -rw-------    1 root     root           72 Jun 11 00:04 m-key

В дальнейшем пароль, использованный для генерации мастер-ключа, можно забыть. Самое главное, не терять файл с мастер-ключом, так как без него KDC не сможет работать с собственной базой. Считается, что копию файла с мастер-ключом надо хранить отдельно от архива базы Kerberos.

Подключимся к Kerberos в оффлайне (ключ -l) и настроим область Kerberos.

# kadmin -l

kadmin> init OFFICE.LOCALNET

Realm max ticket life [unlimited]:

Realm max renewable ticket life [unlimited]:

kadmin> exit

Проверим, используя опять же оффлайновое подключение, что вышло.

# kadmin -l

kadmin> list *

  krbtgt/OFFICE.LOCALNET@OFFICE.LOCALNET

  kadmin/changepw@OFFICE.LOCALNET

  kadmin/admin@OFFICE.LOCALNET

  changepw/kerberos@OFFICE.LOCALNET

  kadmin/hprop@OFFICE.LOCALNET

  default@OFFICE.LOCALNET

kadmin> exit

Интерпретируем результат. Итак, выше приведен перечень служебных принципалов, созданных автоматически. Структура именования принципалов следующая: primary_name/instance@REALM. Но в данном случае часть instance имеет значение «роль». Для администрирования зарегистрируем принципала sysadmin/admin.

# kadmin -l

kadmin> add sysadmin/admin

Max ticket life [1 day]: