time    dgram   udp     wait    root    internal

Синхронизация осуществляется с помощью базовой UNIX-утилиты netdate server.myrealm.ru. Для рабочих станций ее достаточно запускать при загрузке, для серверов, которые перегружаются не так часто, имеет смысл вызывать ее периодически с помощью демона cron.

Еще один технический вопрос – вопрос о правах, которые нужно выставить на keytab-файл. Поскольку он содержит пароли сетевых служб, то первая мысль, которая приходит в голову, ограничить к нему доступ так же, как и к /etc/shadow – чтение только для root. Но сервисы тоже должны иметь возможность извлекать свои ключи из этого файла, т.е. Keytab-файл также должен быть открыт для чтения пользователем, с правами которого запущены сервисы. В нашем случае это замечание не столь важно, поскольку все сервисы работают с правами root, но бывает ситуации, когда нужно дать доступ к keytab-файлу непривилегированным службам. В таком случае стоит завести специальную группу и занеcти в нее всех системных пользователей, используемых керберизованными службами, а файл /etc/krb5.keytab открыть для чтения этой группе.

Настраиваем рабочие станции

Для этого достаточно иметь упоминавшийся выше конфигурационный файл /etc/krb5.conf и собственно сам дистрибутив heimdal. Но бывает также удобно настроить системный login на этой рабочей станции таким образом, чтобы при входе на компьютер, пользователь автоматически получал TGT с контроллера Kerberos. Для рабочих станций под управлением Linux такой функциональности можно добиться, заменив системный login (/bin/login) на керберизованный аналог из состава Heimdal (/usr/bin/login). Проще всего это сделать, отредактировав файл /etc/inittab:

c1:123:respawn:/sbin/agetty 38400 tty1 linux

c2:123:respawn:/sbin/agetty 38400 tty2 linux

k1:5:respawn:/sbin/agetty -l /usr/bin/login 38400 tty1 linux

k2:5:respawn:/sbin/agetty -l /usr/bin/login 38400 tty2 linux

и заменив default run-level на 5. Таким образом, по умолчанию загрузка компьютера будет осуществляться в керберизованном режиме, а для аварийных ситуаций у администратора компьютера сохраняется возможность заходить на компьютер в стандартном режиме (в run-level 1,2,3). Следует только иметь в виду, что керберизованный login запрашивает помимо собственно супербилета еще и session ticket для доступа к рабочей станции. Как вы понимаете, это требует наличия принципала, соответствующего данной рабочей станции в базе данных Kerberos и ее ключа в файле /etc/krb5.keytab. Заметим также, что если по каким-то причинам аутентификация пользователя на сервере Kerberos закончилась неудачей, то login переключается в стандартный режим и аутентифицирует пользователя по локальному файлу /etc/shadow.