La configurazione di un client Kerberos 5 è meno impegnativa rispetto a quella del server. Dovete, come minimo, installare i pacchetti client e fornire a ciascun client un file di configurazione krb5.conf valido. Le versioni kerberizzate di rsh e rlogin necessitano anche di alcune modifiche.
Assicuratevi che il client kerberos e il KDC siano sincronizzati. Per maggiori informazioni in merito, consultate la Sezione 19.5. Accertatevi, inoltre, che il DNS funzioni correttamente sul client Kerberos prima di configurare i programmi relativi al client di Kerberos.
Installate i pacchetti krb5-libs e krb5-workstation su tutte le macchine client. Dovete anche fornire un file /etc/krb5.conf valido per ciascun client (in genere, si può utilizzare lo stesso krb5.conf usato dal KDC).
Prima che una workstation presente nel realm possa consentire agli utenti di collegarsi utilizzando versioni Kerberizzate di rsh e rlogin, occorre installarvi il pacchetto xinetd ed è necessario che il principal host sia incluso nel database di Kerberos. Anche per i programmi del serverkshd e klogind, sarà necessario l'accesso alle chiavi per i principal dei loro servizi.
Utilizzando kadmin, aggiungete un principal host alla workstation sul KDC. L'istanza, in questo caso, sarà l'hostname della postazione. Potete utilizzare l'opzione -randkey per addprinc appartenente al comando kadmin per creare il principal e assegnargli una chiave casuale:
addprinc -randkey host/blah.example.com |
Una volta creato il principal, potete estrarre le chiavi per la workstation eseguendo kadmin direttamente sulla workstation e utilizzare il comando ktadd all'interno di kadmin:
ktadd -k /etc/krb5.keytab host/blah.example.com |
Se desiderate utilizzare altri servizi di rete Kerberizzati, essi devono esseri prima avviati. Di seguito viene riportato un elenco dei servizi kerberizzati piú comuni e le istruzioni su come abilitarli:
rsh e rlogin — Per utilizzare la versione Kerberizzata di rsh e rlogin, dovete abilitare klogin, eklogin e kshell.
Telnet — Per usare la versione kerberizzata di Telnet, dovete abilitare krb5-telnet.
FTP — Per l'accesso FTP, create ed estraete una chiave per un principal con una root di ftp. Assicurarsi di impostare l'istanza sull'hostname qualificato del server FTP, abilitate poi gssftp.
IMAP — Per utilizzare un server IMAP kerberizzato, il pacchetto cyrus-imap usa Kerberos 5 solo se è stato installato il pacchetto cyrus-sasl-gssapi. Il pacchetto cyrus-sasl-gssapi contiene i plugin Cyrus SASL i quali supportano l'autenticazione GSS-API. Cyrus IMAP dovrebbe funzionare correttamente con kerberos, fino a quando l'utente cyrus è in grado di trovare la chiave corretta in /etc/krb5.keytab, e root per il principal, è impostato su imap (creato con kadmin).
Il pacchetto dovecot contiene altresì un server IMAP alternativo a cyrus-imap, il quale è incluso con Red Hat Enterprise Linux, ma non supporta, per ora, GSS-API e Kerberos.
CVS — Per utilizzare un server CVS kerberizzato, gserver utilizza un principal con un root di cvs ed è identico al pserver del CVS.
Per maggiori dettagli su come abilitare i servizi, controllare il capitolo intitolato Controllo dell'accesso ai servizi nel Red Hat Enterprise Linux System Administration Guide.