Kerberos這一名詞來源于希臘神話“三個(gè)頭的狗——地獄之門守護(hù)者” 系統(tǒng)設(shè)計(jì) 上采用客戶端/服務(wù)器結(jié)構(gòu)與 DES 加密技術(shù)，并且能夠進(jìn)行相互認(rèn)證，即客戶端和服務(wù)器端均可對對方進(jìn)行 身份認(rèn)證 ?？梢杂糜诜乐垢`聽、防止replay攻擊、保護(hù) 數(shù)據(jù)完整性 等場合，是一種應(yīng)用對稱 密鑰 體制進(jìn)行 密鑰管理 的系統(tǒng)。

為了賬號的統(tǒng)一管理方便，公司開始使用了Kerberos。下面是一些簡單且常用的命令，mark一下。

一 [安裝krb5軟件]

若使用SecureCRT為64位版本需要對應(yīng)安裝64位krb5；若使用SecureCRT為32位需要對應(yīng)安裝32位krb5；如果使用xshell5需對應(yīng)安裝32位的krb5.(注:xshell4不具備使用kerberos功能)

• 64位Kerberos下載地址：http://web.mit.edu/kerberos/dist/kfw/4.0/kfw-4.0.1-amd64.msi
• 32位Kerberos下載地址：http://web.mit.edu/kerberos/dist/kfw/4.0/kfw-4.0.1-i386.msi

二 [登錄krb5軟件]

1. 登錄(12小時(shí)后登錄票據(jù)會過期，需重登錄)：
   • 4.0.1版本：
   • 開始菜單打開MIT Kerberos Ticket Manager->Get Ticket->Principal填YourCount->Password->Ok；
2. 注銷： kdestroy
   • netidmgr圖形界面的Credential -> Destroy 或者 Ctrl + D；
3. 修改密碼：
   • netidmgr圖形界面的Credential - Change Password修改 （每3個(gè)月，長度10個(gè)字符以上，字符集為3種或以上“aA1~”）

三 [使用krb5登錄服務(wù)器]

1. CRT或Xshell中的登錄用戶欄，需要填work或root（根據(jù)權(quán)限而定）
2. 使用SecureCRT軟件時(shí) 建議用32位版本
   • Quick Connect或Sessions選擇要連接的主機(jī)-> Username寫服務(wù)器系統(tǒng)帳號work或root等 -> Authentication選項(xiàng)中把GSSAPI上移為首選項(xiàng)；
3. 或者使用putty時(shí)
   • Connection - SSH - Auth - GSSAPI , 確保勾上 Attempt GSSAPI authentication 那個(gè)復(fù)選框
4. 或者使用Xshell時(shí) 需要升級為Xshell5
   • 連接->用戶身份驗(yàn)證->方法->選擇"Kerberos"或者"GSSAPI"

Linux客戶端系統(tǒng)

一 安裝krb5軟件

• Ubuntu： apt-get install krb5-user
• CentOS： yum install krb5-workstation

二 修改配置文件

• 修改或添加/etc/ssh/ssh_config配置： GSSAPIAuthentication yes

三 使用kerberos

1. 設(shè)置服務(wù)器登錄權(quán)限

• 設(shè)置root權(quán)限：vim /root/.k5login 添加對應(yīng)賬號，保存更改
• 設(shè)置work權(quán)限：vim /home/work/.k5login 添加對應(yīng)賬號，保存更改

1. 登錄(12小時(shí)后登錄票據(jù)會過期，需重登錄)： kinit 用戶名 或 kinit 用戶名@OS.ORG (后綴需要大寫)
2. 查看： klist
3. 注銷： kdestroy
4. 修改密碼： kpasswd 用戶名 （每3個(gè)月，長度10個(gè)字符以上，字符集為3種或以上“aA1~”）
5. 登錄服務(wù)器： ssh work@IP 或 ssh root@IP 或 ssh readonly@IP 等