PV090: Kerberos, synchronizace času po síti

Náměty k referátu

Kerberos

• Princip fungování třístranné autentizace.
• Terminologie: realm, principal, lístek, stash, KDC, TGT, single sign-on
• Komunikační protokol (co je v které fázi kam zasíláno, závislost na přesném čase).
• Implementace (MIT, Heimdal a jejich kompatibilita).
• Replikace dat (kprop, iprop)
• Údaje o Kerberovi v DNS
• Cross-realm trust
• Uživatelské utility (kinit, klist, ktutil, kdb_util a podobně)

Synchronizace času

• Protokoly NTP, time a PTP
• Ošetření přestupných sekund
• Hardware pro přesný čas
• NTP pool

Úkol

• Zajistěte pro oba své stroje synchronizaci systémového času (použijte protokol NTP a časový server time.fi.muni.cz nebo 1.cz.pool.ntp.org
• Informace po přesném čase z obou strojů nabízejte dále protoklem NTP (je třeba odpovídat na NTP dotazy z erigony).
• Na stroji alpha zprovozněte KDC pro realm PROTOxx.PV090.FI.MUNI.CZ.
• Do databáze hesel zaveďte uživatele pv090 s heslem T26k0Heslo.
• Jako lokální heslo (v shadow) nastavte tomuto uživateli L0calPa33
• Nakonfigurujte SSH tak, aby se uživatel pv090 na počítači alpha mohl bez hesla (jen za použití TGT) přihlásit pod stejným jménem i na počítač beta.
• Na obou strojích umožňěte přihlášení tohoto uživatele přes SSH
• Na obou strojích umožněte uživatli pv090 změnu jeho kerberos hesla příkazem passwd (poznámka: kpasswd nestačí).
• Na stroj beta nainstalujte KDC a replikujte na něj databázi kerbera ze stroje alpha pro váš realm.

Mohlo by se hodit

• Pro synchronizaci je potřeba použít správný hostname v principalu nad kterým běží synchronizace: měl by to být hostname, na který se mapuje příslušná IP adresa, ze které přichází požadavek na replikaci.

Hodnocení

Základní část

• Na stroji alpha běží KDC pro správný realm a je možno příkazem kinit získat lístek pro uživatele pv090.
• Oba stroje mají systémový čas zjistitelný protokolem NTP z erigony, který se liší od erigony o nejvíce 5 vteřin.
• Oba stroje mají správně nastavenou časovou zónu.

Hodnocená část

• 1 bod: na obou strojích běží NTP démon, je nakonfigurován a je synchronizován s nakonfigurovanými servery (viz příkaz peers uvnitř programu ntpdc)
• 1 bod: je možno se přihlásit přes SSH jako uživatel pv090 s kerberovým heslem i s lokálním heslem
• 1 bod: je možno uživateli pv090 změnit kerberové heslo příkazem passwd a následně se i s novým heslem přihlásit
• 1 bod: uživatel pv090 se umí mezi počítači alpha a beta přihlašovat bez hesla, jen s pomocí TGT

Bonusová část

• 1 bod: funguje replikace databáze kerbera aspoň z příkazové řádky
• 1 bod: funguje automatická inkrementální replikace při změně hesla
• 1 bod: v DNS jsou korektní informace o nastavení Kerbera pro váš realm a klienti tyto informace používají