Cómo configurar que el principal de usuario agregado a Kerberos no pueda acceder a un principal de host específico de reinos

tag-icon tag-icon linux kerberos
Cómo configurar que el principal de usuario agregado a Kerberos no pueda acceder a un principal de host específico de reinos

Instalé Kerberos en CentOS 7 mediante el comando yum.

yum install krb5-server krb5-libs krb5-workstation pam_krb5 -y

Mi situación es la siguiente:

  • Hay 1 KDC.
  • Cuenta con 2 Servidores de Servicio.

El archivo krb5.conf del KDC está configurado de la siguiente manera.

# Configuration snippets may be placed in this directory as well
includedir /etc/krb5.conf.d/

[logging]
 default = FILE:/var/log/krb5libs.log
 kdc = FILE:/var/log/krb5kdc.log
 admin_server = FILE:/var/log/kadmind.log

[libdefaults]
 dns_lookup_realm = false
 ticket_lifetime = 24h
 renew_lifetime = 7d
 forwardable = true
 rdns = false
 pkinit_anchors = FILE:/etc/pki/tls/certs/ca-bundle.crt
 default_realm = MYREALM.NET
 default_ccache_name = KEYRING:persistent:%{uid}

[realms]
MYREALM.NET = {
 kdc = kdc.myrealm.net
 admin_server = kdc.myrealm.net
}

[domain_realm]
.myrealm.net = MYREALM.NET
myrealm.net = MYREALM.NET

Y agregué el director del host con el siguiente comando.

# kadmin.local -q 'addprinc -randkey host/build.myrealm.net'
# kadmin.local -q 'ktadd -k /tmp/build.keytab host/build.myrealm.net'
# scp /tmp/build.keytab build.myrealm.net:/etc/krb5.keytab


# kadmin.local -q 'addprinc -randkey host/api.myrealm.net'
# kadmin.local -q 'ktadd -k /tmp/api.keytab host/api.myrealm.net'
# scp /tmp/api.keytab api.myrealm.net:/etc/krb5.keytab

Y agregué un usuario principal con el siguiente comando.

# kadmin.local -q 'addprinc eric'

Con el usuario principal agregado anteriormente, los dos servidores de servicio se conectan exitosamente sin contraseña mediante el siguiente comando ssh.

Por cierto, quiero administrar un servidor de servicios al que puede acceder el usuario principal.

Me pregunto cómo configurar el principal de usuario agregado para que no acceda a un principal de host específico de reinos.

En resumen, me gustaría recibir consejos sobre cómo hacer que el usuario principal agregado sea ericaccesible solo api.myrealm.netentre los servidores del servicio.

Agregué un principal de usuario y un principal de host, y copié el archivo de tabla de claves del principal de host en el servidor de servicio.

Se accede correctamente al servidor de servicios en el mismo ámbito sin contraseña.

Sin embargo, lo que quiero hacer es administrar la autorización por usuario principal.

Respuesta1

Como respuesta a mi pregunta, recomiendo usar FreeIPA. Crear una política en FreeIPA y aplicarla por usuario resolvió el problema que pretendía.

https://www.freeipa.org/page/Main_Page

información relacionada