udp     0   0 YYY.YY.Y.YY:464   0.0.0.0:*            10988/kpasswdd

udp     0   0 10.0.0.1:464      0.0.0.0:*            10988/kpasswdd

udp     0   0 127.0.0.1:464     0.0.0.0:*            10988/kpasswdd

udp     0   0 192.168.0.1:88    0.0.0.0:*            10984/kdc

udp     0   0 127.0.0.1:88      0.0.0.0:*            10984/kdc

udp     0   0 ::1:464           :::*                 10988/kpasswdd

unix  2    [ ]      DGRAM              359313 10988/kpasswdd

Примечательно, что kdc, т.е. сервис аутентификации и выдачи билетов, запустился на внутренних адресах и порту 88, как и планировалось. Сервис удаленного администрирования kadmind прослушивает все возможные адреса по порту 749, а вот kpasswdd, т.е. сервис изменения паролей, слушает на всех активных в данный момент адресах по порту 464, не исключая и двух внешних подключений к ISP. Другими словами, без firewall не обойтись, иначе если не атаки, то сканирований не избежать. Но все вышесказанное относится только к принятой в SuSE схеме запуска. Ничего не мешает запустить kadmind и kpasswdd через суперсервер xinetd, и уже средствами последнего ограничить доступ. Схема запуска через суперсервер, кроме прочего, еще и позволит сэкономить ресурсы.

Работаем в сети

Теперь проверим, как будет работать не оффлайновое, а сетевое администрирование Kerberos.

# kadmin -p sysadmin/admin

kadmin> list *

sysadmin/admin@OFFICE.LOCALNET's Password:

kadmin: get *: Operation requires `get' privilege

kadmin> exit

Это значит, в базе Kerberos не настроены права доступа. Ранее все подключения делались напрямую к базе данных, и права доступа не учитывались. Настроим их.

# cat >/var/heimdal/kadmind.acl <<EOT

> sysadmin/admin  all

> *               cpw

> EOT

Это значит, sysadmin/admin может делать все, а остальные только менять пароли. И теперь повторим попытку подключения.

# kadmin -p sysadmin/admin

kadmin> list *

sysadmin/admin@OFFICE.LOCALNET's Password:

  krbtgt/OFFICE.LOCALNET@OFFICE.LOCALNET

  kadmin/changepw@OFFICE.LOCALNET

  kadmin/admin@OFFICE.LOCALNET