Если вы ошиблись – добавили в /etc/krb5.keytab ключ службы, которая не используется на данном компьютере, то для управления ключами в файле /etc/krb5.keytab предназначена утилита ktutil. Удалить лишнюю запись можно командой /usr/sbin/ktut il remove -p ftp/server.myrealm.ru, точно так же, как и просмотреть все записи в keytab-файле (ktutil list) или добавить новый ключ (ktutil get ftp/server.myrealm.ru).

Теперь настроим запуск сервисов через демон inetd, для чего нужно добавить следующие строки в файл inetd.conf (не забудьте также добавить записи из файла heimdal-0.6.3/etc/services.append к системному файлу /etc/services):

telnet  stream  tcp nowait  root /usr/libexec/telnetd telnetd -L /usr/bin/login

ftp     stream  tcp nowait  root /usr/libexec/ftpd ftpd

shell   stream  tcp nowait  root /usr/libexec/rshd rshd -vkshell  stream  tcp nowait  root /usr/libexec/rshd rshd -k

ekshell stream  tcp nowait  root /usr/libexec/rshd rshd -kx

kx      stream  tcp nowait  root /usr/libexec/kxd kxd

Почти все сервисы стандартные, shell/kshell/ekshell – это вариации на тему rshd. Первый из них работает просто как «заглушка», выдает сообщение об ошибке, если пользователь подключается по старинке, без TGT. Второй и третий – керберизованные сервисы, использующие Kerberos в последнем случае с шифрованием трафика. Нестандартным является сервис kx (использует 2111/tcp-порт), который предназначен для организации соединений по X-протоколу через шифрованный канал. Если вы, например, подключитесь к серверу server.myrealm.ru с помощью команды rxtelnet server.myrealm.ru, то при успешном соединении на вашем X-сервере откроется окно xterm с командным интерпретатором, запущенном на удаленном компьютере (server.myrealm.ru). Вся графика при этом будет прозрачно переадресовываться на вашу рабочую станцию. В некотором смысле мы имеем аналог ssh – X server.myrealm.ru.

Поскольку время действия любого сертификата Kerberos ограничено, то одной из задач при настройке сектора Kerberos является синхронизация времени между компьютерами в локальной сети. Локальное время компьютера используется клиентами Kerberos при запросе на выдачу билета, и если это время значительно отличается от времени контроллера Kerberos (более чем на 5 минут), то такие запросы отвергаются. Так что бесполезно, например, предлагать контроллеру Kerberos просроченный TGT, просто переведя часы на локальном компьютере. Но с другой стороны, удаленный доступ к какому-то компьютеру также может быть невозможным только потому, что его часы опережают часы контроллера Kerberos, скажем, на 10 минут. Поэтому синхронизация времени внутри сектора необходима для корректного функционирования Kerberos. Если у вас в локальной сети уже работает сервер ntp, то можно воспользоваться им. Об установке и настройке сервера ntpd написано в статье [2]. Однако для целей Kerberos достаточно, если вы выберете какой-то из компьютеров в вашей сети (допустим, тот же самый server.myrealm.ru) в качестве эталонного и будете сверять по нему часы остальных компьютеров (и контроллера Kerberos в том числе) по протоколу time. Служба time уже встроена в сервер inetd, нужно только убедиться, что в файле /etc/inetd.conf не закомментирована строка: