Die Konfigurationsdatei krb5.conf findet sich im Verzeichnis etc. Dieser Ansatz der Konfiguration ist teilweise schneller als der Weg über das iManager-Plug-In.
Die Datei krb5.conf enthält eine Reihe von Parametern. Die Beispieldatei (Listing 1) enthält gleichzeitig Standardwerte, die bei einer nicht angepassten Installation und ohne weitere Konfigurationsschritte verwendet werden. Die Anpassung ist schon wegen der Realm-Bezeichnungen erforderlich. Bei Parametern wie der Gültigkeitsdauer von Tickets können die Werte beibehalten werden.
Beispiel-Listing der krb5.conf-Datei
[libdefaults]
default_realm = ATHENA.MIT.EDU
[realms]
ATHENA.MIT.EDU = {
max_life = 10h 0m 0s
max_renewable_life = 7d 0h 0m 0s
acl_file = /opt/novell/kerberos/kadm5.acl
dict_file = /opt/novell/kerberos/kadm5.dict
kdc = kerberos.mit.edu
admin_server = kerberos-1.mit.edu
kpasswd_server = kerberos-1.mit.edu
database_module = ldapconf
}
[kdcdefaults]
num_threads = 10
[domain_realm]
.mit.edu = ATHENA.MIT.EDU
mit.edu = ATHENA.MIT.EDU
[logging]
Fortsetzung Listing 1
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmind.log
kpasswd_server = FILE:/var/log/kpasswdd.log
[dbdefaults]
database_module = ldapconf
[dbmodules]
ldapconf = {
db_library = kdb_ldap
ldap_ssl_port = 636
ldap_kdc_dn = "cn=KDC Server - kerberos.mit.edu,o=mit"
ldap_kadmind_dn = "cn=Admin Server - kerberos.mit.edu,o=mit"
ldap_kpasswdd_dn = "cn=Passwd Server - kerberos.mit.edu,o=mit"
ldap_root_certificate_file = /opt/novell/kerberos/TrustedRootldapserver1.
mit.edu.der /opt/novell/kerberos/TrustedRoot-ldap
-server2.mit.edu.der
ldap_service_password_file = /opt/novell/kerberos/keyfile
realm_read_refresh_interval = 300
ldap_servers = ldap-server1.mit.edu ldap-server2.mit.edu:1636
ldap_conns_per_server = 5
Konfiguration der krb5.conf-Datei
Im Abschnitt [libdefaults] findet sich nur die Einstellung für den zu verwendenden Realm. Dieser muss auf den zu verwendenden Domänennamen gesetzt werden, der standardmäßig genutzt werden soll.
Im Abschnitt [realms] können anschließend weitere Realms konfiguriert werden. Für jeden Realm müssen Parameter wie die Lebensdauer von Tickets und Festlegungen zu den Servern vorgenommen werden, die eingesetzt werden.
Der folgende Abschnitt ist [kdcdefaults]. Dort gibt es nur einen Parameter, über den die Anzahl der Threads festgelegt werden kann.
Bei [domain_realm] finden sich die Abbildungen von Domänen auf die konfigurierten Kerberos- Realms, die sich von den Domänennamen unterscheiden können.
Ein weiterer Abschnitt ist [logging]. Darin wird festgelegt, wo welche Informationen protokolliert werden sollen.
Im Bereich [dbmodules] sind die Einstellungen zur verwendeten „Datenbank“, in diesem Fall also dem eDirectory untergebracht. Der Zugriff erfolgt über LDAP. Die Einstellungen umfassen beispielsweise die zu verwendende Portnummer und die Namen für die Authentifizierung. Auch die Dateien mit den Zertifikaten, die für die Sicherung der Kommunikation genutzt werden, müssen angegeben werden. Die Parameter in der Datei sind in weiten Teilen selbsterklärend, soweit eine Anpassung erforderlich ist.
Wie geht es weiter?
Für eine Konfiguration des Novell Kerberos KDC über den iManager stehen eine größere Anzahl von Funktionen zur Verfügung. Sie sind Thema des nächsten Beitrags der Artikelfolge, ebenso wie die Nutzung von Kerberos-Tools.