环境

我们有一台 RHEL 7.6 客户端和一台 FreeIPA 服务器。

FreeIPA服务器

• 主机名 - ipaserver.onitroad.com
• IP 地址 - 192.168.1.200/24

Kerberos 客户端

• 主机名 - client2.onitroad.com
• IP 地址 - 192.168.1.202/24

Kerberos 服务器-客户端配置

连接到 client2.onitroad.com 并将其配置为 Kerberos 身份验证。

配置 DNS 解析。

[root@client2 ~]# nmcli connection modify eno16777728 ipv4.dns 192.168.1.200
[root@client2 ~]# nmcli connection down eno16777728 ; nmcli connection up eno16777728
Connection successfully activated (D-Bus active path: /org/freedesktop/NetworkManager/ActiveConnection/1)

使用 yum 命令安装所需的包。

[root@client2 ~]# yum install -y krb5-workstation sssd pam_krb5
Loaded plugins: langpacks, product-id, subscription-manager
This system is not registered to Red Hat Subscription Management. You can use subscription-manager to register.
Package krb5-workstation-1.11.3-49.el7.x86_64 already installed and latest version
Package sssd-1.11.2-65.el7.x86_64 already installed and latest version
Package pam_krb5-2.4.8-4.el7.x86_64 already installed and latest version
Nothing to do

我已经安装了所需的软件包。
因此 yum 不对我的机器执行任何操作。

从 ipaserver.onitroad.com 下载密钥表文件。

[root@client2 ~]# wget ftp://ipaserver/pub/client2.keytab -O /etc/krb5.keytab
[root@client2 ~]# klist -k
Keytab name: FILE:/etc/krb5.keytab
KVNO Principal
---- -------------------------------------------------------------------------
   1 host/client2.onitroad.com@EXAMPLE.COM
   1 host/client2.onitroad.com@EXAMPLE.COM
   1 host/client2.onitroad.com@EXAMPLE.COM
   1 host/client2.onitroad.com@EXAMPLE.COM
   1 host/client2.onitroad.com@EXAMPLE.COM
   1 host/client2.onitroad.com@EXAMPLE.COM
[root@client2 ~]#

我们的密钥表现在就位。
现在让我们配置 Kerberos 身份验证。

[root@client2 ~]# authconfig --update --enablekrb5 --krb5realm=EXAMPLE.COM --krb5kdc=ipaserver.onitroad.com --krb5adminserver=ipaserver.onitroad.com

我们已成功配置我们的 Red Hat Enterprise Linux (RHEL) 7 机器以使用 Kerberos 服务器进行身份验证。

Kerberos 服务器端配置

虽然 Kerberos 服务器端配置不是 RHCE 目标的要求，但由于我们是在自己的测试环境中练习。
因此，最好了解添加 Kerberos Client 的服务器端配置。

将 client2.onitroad.com 机器添加到 Kerberos 服务器。

连接到 ipaserver.onitroad.com 并执行以下命令。

[root@ipaserver ~]# kinit admin
Password for admin@EXAMPLE.COM:
[root@ipaserver ~]# ipa host-add --ip-address 192.168.1.202 client2.onitroad.com
-------------------------------
Added host "client2.onitroad.com"
-------------------------------
  Host name: client2.onitroad.com
  Principal name: host/client2.onitroad.com@EXAMPLE.COM
  Password: False
  Keytab: False
  Managed by: client2.onitroad.com
[root@ipaserver ~]# ipa dnsrecord-add onitroad.com client2 --ttl=3600 --a-ip-address=192.168.1.202
  Record name: client2
  Time to live: 3600
  A record: 192.168.1.202

为 client2.onitroad.com 生成 Kerberos 密钥表。

[root@ipaserver ~]# ipa-getkeytab -s ipaserver.onitroad.com -p host/client2.onitroad.com -k /var/ftp/pub/client2.keytab
Keytab successfully retrieved and stored in: /var/ftp/pub/client2.keytab
[root@ipaserver ~]# chmod 644 /var/ftp/pub/client2.keytab