6.2. 配置 Kerberos 客户端

1. 指定 krb5.conf 文件中的配置设置。
2. 在 JBCS_HOME/httpd/conf 文件中创建一个密钥选项卡。
3. 为密钥选项卡分配权限。
4. 确保 /etc/hosts 文件中包含 localhost。

流程

1. 指定 krb5.conf 文件中的配置设置：

   1. 进入 /etc 目录。
   2. 创建名为 krb5.conf 的文件。

   3. 输入以下配置详情：

      [logging]
        default = FILE:/var/log/krb5libs.log
        kdc = FILE:/var/log/krb5kdc.log
        admin_server = FILE:/var/log/kadmind.log
      
      [libdefaults]
        default_realm = EXAMPLE.COM
        default_tgs_enctypes = des-cbc-md5,des3-cbc-sha1-kd
        default_tkt_enctypes = des-cbc-md5,des3-cbc-sha1-kd
        dns_lookup_realm = false
        dns_lookup_kdc = false
        allow_weak_crypto = yes
        ticket_lifetime = 24h
        renew_lifetime = 7d
        forwardable = yes
      
      [realms]
        EXAMPLE.COM = {
          kdc = localhost:60088
          admin_server = localhost:60088
        }
      
      [domain_realm]
        .example.com = EXAMPLE.COM
        example.com = EXAMPLE.COM

2. 要创建密钥标签页：

   1. 打开 JBCS_HOME/httpd/conf 文件。

   2. 输入以下详情：

      # ktutil
      ktutil: addent -password -p HTTP/localhost@EXAMPLE.COM -k 0 -e des-cbc-md5
      Password for HTTP/localhost@EXAMPLE.COM: secretpwd
      ktutil: list
      slot KVNO Principal
      ---- ---- ---------------------------------------------------------------------
         1    0               HTTP/localhost@EXAMPLE.COM
      ktutil: wkt JBCS_HOME/httpd/conf/krb5.keytab
      ktutil: quit

      重要

      环境变量不会在 ktutil 提示符中扩展。您必须替换 JBCS_HOME 变量的完整路径。

3. 要将正确的组和权限应用到密钥标签页，以 root 用户身份输入以下命令：

   # chgrp apache JBCS_HOME/httpd/conf/krb5.keytab
   # chmod 640 JBCS_HOME/httpd/conf/krb5.keytab

4. 确保 /etc/hosts 文件中包含以下主机配置：

   127.0.0.1 localhost