La configuración de un cliente de Kerberos 5 client no es tan complicada como la de un servidor. Lo que tiene que hacer es instalar los paquetes del cliente y proveer a cada cliente con un archivo de configuración krb5.conf válido. Las versiones kerberizadas de rsh y rlogin también requerirán algunos cambios en la configuración.
Asegúrese que la sincronización sea correcta entre el cliente de Kerberos y el KDC. Consulte Sección 17.5 para mayor información. Además, el DNS tiene que funcionar correctamente antes de instalar los programas del cliente Kerberos.
Instale los paquetes krb5-libs y krb5-workstation en todas las máquinas de clientes. Tiene que dar la versión del /etc/krb5.conf para cada cliente; normalmente es el mismo archivo krb5.conf usado por KDC.
Antes de que una estación de trabajo del reino permita a los usuarios conectarse usando los comandos kerberizados rsh y rlogin, esa estación de trabajo tendrá que tener instalado el paquete xinetd y tener su propio host principal en la base de datos Kerberos. Los programas del servidor kshd y klogind también necesitan el acceso a las claves de la entrada principal del servicio.
Usando el comando kadmin, añada un host principal para la estación de trabajo en el KDC. La instancia en este caso será el nombre de host de la estación de trabajo. Puede usar la opción -randkey para el comando kadmin addprinc para crear el principal y asignarle una clave aleatoria:
addprinc -randkey host/blah.example.com |
Ahora que ha creado el principal, puede extraer las claves para la estación de trabajo ejecutando kadmin en la estación de trabajo, y usando el comando ktadd en kadmin:
ktadd -k /etc/krb5.keytab host/blah.example.com |
Si desea utilizar otros servicios kerberizados de red, necesitará arrancarlos. Abajo hay una lista de algunos de los servicios kerberizados más comunes y las instrucciones para activarlos:
rsh y rlogin — Para poder usar las versiones kerberizadas de los comandos rsh y rlogin, deberá activar klogin, eklogin, y kshell.
Telnet — Para usar Telnet kerberizado, deberá activar krb5-telnet.
FTP — Para el acceso FTP, cree y extraiga una entrada para el principal con un root de ftp. Asegúrese de colocar la instancia al nombre de host del servidor FTP, luego active gssftp.
IMAP — El servidor IMAP incluye en el paquete imap que usará la autentificación GSS-API del Kerberos 5 si encuentra la clave adecuada en /etc/krb5.keytab. La raíz para el principal debería ser imap.
CVS — CVS kerberizado gserver usa un principal con una raíz de cvs y es idéntica al CVS pserver.
Para detalles sobre como activar servicios, refiérase al capítulo titulado Control de acceso a los servicios en el Manual de personalización de Red Hat Linux.