39.1 Kerberos-Netzwerktopologie
Alle Kerberos-Umgebungen müssen den folgenden Anforderungen entsprechen, um voll funktionsfähig zu sein:
-
Geben Sie einen DNS-Server für die Namensauflösung im Netzwerk an, damit Clients und Server sich gegenseitig finden können. Informationen zum DNS-Setup finden Sie unter Abschnitt 22.0, Domain Name System (DNS).
-
Stellen Sie einen Zeitserver im Netzwerk bereit. Das Verwenden exakter Zeitstempel ist beim Kerberos-Setup von zentraler Bedeutung, da gültige Kerberos-Tickets korrekte Zeitstempel enthalten müssen. Informationen zum NTP-Setup finden Sie unter Abschnitt 24.0, Zeitsynchronisierung mit NTP.
-
Stellen Sie ein Key Distribution Center (KDC) als Zentralstück der Kerberos-Architektur bereit. Es enthält die Kerberos-Datenbank. Verwenden Sie die auf diesem Computer höchstmögliche Sicherheitsrichtlinie, um Angriffe auf diesen Computer zu verhindern, die Ihre gesamte Infrastruktur beschädigen könnten.
-
Konfigurieren Sie die Clientcomputer für die Verwendung der Kerberos-Authentifizierung.
Die folgende Abbildung zeigt ein einfaches Beispielnetzwerk mit den für das Erstellen einer Kerberos-Infrastruktur mindestens erforderlichen Komponenten. Je nach Größe und Topologie Ihrer Bereitstellung müssen Sie möglicherweise ein anderes Setup verwenden.
Abbildung 39-1 Kerberos-Netzwerktopologie
TIPP: Konfigurieren des Teilnetz-Routings
Für ein Setup ähnlich dem in Abbildung 39-1 müssen Sie ein Routing zwischen den beiden Teilnetzen (192.168.1.0/24 and 192.168.2.0/24) konfigurieren. Weitere Informationen zum Konfigurieren des Routings mit YaST finden Sie unter Konfigurieren des Routing.