网络安全课设Kerberos实验报告

附件《网络安全课程设计》实验报告格式

2012-2013学年第2学期 《网络安全课程设计》实验报告 3

实验名称： 完成时间： 实验18安全协议之 Kerberos 协议 2014-6-4 （练习三） 姓 名: 石心刚 学号 110342124 姓

名: 何伊林 学号 110342106 姓 名: 白冠军 学号 110342101 姓 名: 尹新来 学号 110342136 姓

名:

饶明艺 学号 110342122 指导教师：

崔鸿

班级

110342A

实验目的

1. 了解身份认证的原理及其重要意义

2. 学习Kerberos身份认证全过程

3. 学会在Linux下配置Kerberos身份认证系统

系统环境

Linux

网络环境

交换网络结构

实验工具

krb5 vl.6.2

实验步骤

本练习主机A〜F为一组。实验角色说明如下:

首先使用“快照 X”恢复Linux系统环境。

一.配置主KDC

在此过程中，将使用以下配置参数：

领域名称=LAB

DNS 域名=cserver. netlab

主 KDC = lab

admin 主体=admi n/admin

admin 主体密码：admin

数据库管理密码：jlcss

(1)首先为主 KDC改名，编辑

/etc/sysconfig/network 文件，把 HOSTNAM改为 kdc1 , 保存后重启系统。

(2)配置/etc/resolv.conf 文件使本机找到DNS服务器，修改内容如下。

dam 盘1“ cserver. zteil&b

nMHfervar 1TZ. 16.0.254

其中domain后面用来标识 DNS域名，nameserver后面则用来标识 DNS服务器的IP地址。在本实

验中我们就以“应用服务器”作为DNS服务器，它的全限制域名是lab , IP可以根据实验情况进行调整。

(3)主KDC配置时钟同步服务 ntpd 。 Kerberos服务对于时间同步的要求是很高的，通过ntpd可以同步Kerberos系统中各台主机的时间。修改/etc/ntp.conf ，把OUTTIMESERVERS 里的几行注释掉，然后添加一行。

rai tri cl 172. 16. 0.0 2S5. 255. 255. 0 zunnodi £y notraj-

上述内容表示对172.16.0.0网络内主机提供时钟同步服务。

（4）启动ntpd服务，输入：service ntpd start ，然后将它设为开机自启，输入：chkconfig ntpd on 。（注意：该服务启动后需要几分钟的时间才可以正常使用）

（5）修改/etc/hosts 文件，当本机远程访问其它主机时，会先在此文件中查找其他主

机信息。修改内容如下：

127.0. 0. 1lo callioE t . 1

ocalrilom am Io CR I L OE t

kdlcL. cserver, ne+lal?kdcl

（6）修改/etc/krb5.conf ，关于每个模块的信息可以参见实验原理。需要修改的有三

部分，具体如下面信息：首先在libdefaults 里default_realm 改为领域名称LAB在realms 里把kdc后面的值改为主 KD Q即本机）信息，把default_realm 改为 DNS域名 lab 。

（7）切换至/opt/kerberos/var/krb5kdc 目录，打开配置文件 kdc.conf，将域名改为对应值（LAB

[reaiLiiis]

CSERVIR. BITUL0 ' f

flrti it 18r_ksy_l 5

5upp er ts d_e：rte+yp - dss.3-hiftic-s.lial: normil ar cfoar-hm *c Z des-hmic-shil' n

onm^l des" cl c"m-d51 norm al s~cbc~er c' normal des."cbc"crc : v4 des"cbe-crc! I£E3

p

l J U IL I：U *3 v C： *3 v J TT L- |.|：IV|LJ1_|. J T7 口 4 匚

rootSHostSH guest]# tel not 127, 0. 0. 1

vying 127. 0. 0. L …

[onnected to HostSB. Netlab C127. 0. 0. 1).

'scape charac ter t s ]・

■i? ci ora Core release 5 (Bordeaux*

ernel 2. 6. 15'1. 2054_ FC5 on an 1680 .ogiri: uuost

Password

r Ru&st(3Hostt5B "_]$

（8）创建数据库。

切换至/opt/kerberos/sbin 目录，执行命令：./kdb5_util create -s ，然后输入数据库管理密码jlcss 并确认。命令执行完毕后，会在 /opt/kerberos/var/krb5kdc 目录下生成若干principal 文件，它们就是KDC的数据库文件。

(9)修改ACL文件，设置kerberos中各主体的权限。

切换至/opt/kerberos/var/krb5kdc 目录，编辑文件 kadm5.acl，内容形式如下(具体含义参见Kerberos设置相关文档)。

(No Info could t» md for * : B4teuLd0=50D but you Ehouid bn rout.)

“ i 1 mlui Jii/l cuiLJi^L l Luiiife (乍1?丄5赴丄匕idiU L died)

Pl'C i to R(M：I=G 1 ix H14ddr»is Fai(>f ,■ II Ailttrcs s riA rj(*

11](10n. o n. n ■ 111G. 0. 0. D:+LISTEN

tCD00Q. 0, U, Q;ZL o t 0,0,0:*LISTEN

tcp U<1U. 0. 0. 0:2J匕 0. 0. D: +LlSTtN -tcp00127. 0. 0. U23127. 0i D* liaoew ESTABLISHED

500127 0 0. 1^00093127 0. 0.1:ZJ ESTABLCSHFD

I r[Ci0:；rrrr： 127. n n 1 eoooo:::*11STEM

tcp c Q::;旳:::*LISTEN

tcp0<|:；；山:;;*-! m mctOH rxc tr^R 1 ft

（10）为主KDC数据库添加主体。

切换至 /opt/kerberos/sbin/ 目录，执行命令：./kadmin.local ，进入 kerberos 控制台，按下面步骤为主KDC数据库添加主体。

①为数据库添加管理主体admin/admin，执行 kerberos 命令:addprinc admin/admin，

并输入该管理员密码（这里设为admin ）。

②为kadmind服务创建密钥表文件，此命令序列创建包含kadmin和changepw主体项

的特殊密钥表文件 kadm5.keytab 。执行 kerberos 命令:ktadd -k

/opt/kerberos/var/krb5kdc/kadm5.keytab kadm in/adm in kadm in/cha ngepw 。

③执行kerberos命令：listprincs ，查看主体文件是否添加成功。

④执行kerberos 命令：quit，退出kerberos 控制台，返回至sb in目录。

（11）执行命令：./krb5kdc 启动krb5kdc服务；执行命令:./kadmind ，启动kadmind 服务。

（12）为使以上两个命令开机自启动，编辑/etc/rc.local 文件，追加如下两行内容：

/ op t/k 电:r b ex o s/ sb i n/lcr b 5kdc

/ o® t/k 电fb er oi/ sbi n/lkadm i nd.