La configurazione di un client Kerberos 5 è meno impegnativa rispetto a quella del server. Dovete, come minimo, installare i pacchetti client e fornire a ciascun client un file di configurazione krb5.conf valido. Le versioni di rsh e rlogin che utilizzano Kerberos necessitano di alcune modifiche di configurazione.
Assicuratevi che il client kerberos e il KDC siano sincronizzati. Per maggiori informazioni in merito, consultate la Sezione 17.5. Accertatevi, inoltre, che il DNS funzioni correttamente sul client Kerberos prima di configurare i programmi relativi al client.
Installate i pacchetti krb5-libs e krb5-workstation su tutti i client dei vostri dispositivi. Dovete anche fornire una versione di /etc/krb5.conf per ciascun client; in genere, si può utilizzare lo stesso krb5.conf usato dal KDC.
Prima che una postazione di lavoro presente nel realm possa consentire agli utenti di connettersi utilizzando versioni Kerberos di rsh e rlogin, occorre installarvi il pacchetto xinetd ed è necessario che il principal del suo host sia incluso nel database di Kerberos. Anche per i programmi kshd e klogind sarà necessario l'accesso alle chiavi per i principal dei loro servizi.
Utilizzando kadmin, aggiungete un principal host alla postazione di lavoro sul KDC. L'istanza, in questo caso, sarà l'hostname della postazione. Potete utilizzare l'opzione -randkey per il comando di kadmin addprinc sul KDC per creare il principal e assegnargli una chiave casuale:
addprinc -randkey host/blah.example.com |
Una volta creato il principal, potete estrarre le chiavi per la postazione di lavoro eseguendo kadmin direttamente sulla postazione e utilizzare il comando ktadd all'interno di kadmin:
ktadd -k /etc/krb5.keytab host/blah.example.com |
Se desiderate utilizzare un altro servizio di rete di kerberos, essi sarnno necessari per essere avviati. Di seguito viene riportata una lista dei servizi di kerberos piú comuni e le istruzioni su come abilitarli:
rsh and rlogin — Per utilizzare la versione con Kerberos di rsh e rlogin, dovete abilitare klogin, eklogin e kshell.
Telnet — Per usare la versione "kerberizzata" di Telnet, dovete abilitare krb5-telnet.
FTP — Per l'accesso FTP, create ed estraete una chiave per un principal con una root di ftp. Assicurarsi di impostare l'istanza sull'hostname qualificato del server FTP, abilitate poi gssftp.
IMAP — Il server IMAP incluso nel pacchetto imap utilizza l'autenticazione GSS-API con Kerberos 5 se trova la chiave corretta all'interno di /etc/krb5.keytab. La root per il principal dovrebbe essere imap.
CVS — il gserver "kerberizzato" del CVS, usa un principal con una root di cvs ed è identico a pserver del CVS.
Per maggiori dettagli su come abilitare i servizi, controllare il capitolo intitolato Controllo dell'accesso ai servizi nel Red Hat Linux Customization Guide.