Linux Kerberos 权限设置指南

Kerberos 是一个网络认证协议，在 Linux 环境中设置权限主要涉及以下几个方面：

1. Kerberos 基本配置

首先确保 Kerberos 已正确安装和配置：

# 安装 Kerberos 客户端
sudo apt-get install krb5-user  # Debian/Ubuntu
sudo yum install krb5-workstation  # RHEL/CentOS

# 配置文件位置
/etc/krb5.conf
/var/kerberos/krb5kdc/kdc.conf
/var/kerberos/krb5kdc/kadm5.acl

2. 用户权限管理

创建 Kerberos 主体(Principal)

# 作为管理员(kadmin)添加新用户
kadmin.local -q "addprinc username"

# 或远程(需要管理员权限)
kadmin -p admin_user -q "addprinc username"

设置密码策略

# 查看密码策略
kadmin.local -q "getpolicy standard"

# 创建密码策略
kadmin.local -q "addpol -minlength 8 -minclasses 3 standard"

3. 服务权限控制

服务主体创建

# 为服务创建主体
kadmin.local -q "addprinc -randkey host/server.example.com"
kadmin.local -q "ktadd -k /etc/krb5.keytab host/server.example.com"

设置服务访问控制

编辑 /var/kerberos/krb5kdc/kadm5.acl 文件：

*/admin@EXAMPLE.COM *
username@EXAMPLE.COM admilc

4. Kerberos 票据权限

查看票据

klist

销毁票据

kdestroy

5. PAM 集成

配置 /etc/pam.d/sshd 或其他服务文件：

auth sufficient pam_krb5.so
account sufficient pam_krb5.so

6. 常见权限相关命令

• 更新票据：kinit username
• 查看主体属性：kadmin.local -q "getprinc username"
• 修改主体属性：kadmin.local -q "modprinc -maxrenewlife 7days username"
• 删除主体：kadmin.local -q "delprinc username"

7. 安全最佳实践

1. 限制管理员访问：只允许特定用户/主机执行 kadmin 操作
2. 使用强密码策略
3. 定期轮换 keytab 文件
4. 监控 KDC 日志：/var/log/krb5kdc.log
5. 设置适当的票据生命周期

8. 故障排查

• 检查日志：/var/log/krb5kdc.log 和 /var/log/kadmind.log
• 验证配置：krb5-config-test
• 检查网络时间同步(NTP)，Kerberos 对时间敏感

通过以上配置，您可以有效地管理 Linux 系统中 Kerberos 的权限设置。