Translations by Stéphane V
Stéphane V has submitted the following strings to this translation. Contributions are visually coded: currently used translations, unreviewed suggestions, rejected suggestions.
| 2007. |
Replacing <emphasis>192.168.0.1</emphasis> with the IP address of your KDC.
|
|
| 2009-03-23 |
En remplaçant <emphasis>192.168.0.1</emphasis> par l'adresse IP de votre KDC.
|
|
| 2008. |
In order for clients to determine the KDC for the Realm some DNS SRV records are needed. Add the following to <filename>/etc/named/db.example.com</filename>:
|
|
| 2009-03-23 |
Pour que les clients puissent déterminer le KDC pour le Domaine, des entrées DNS SRV sont requises. Ajoutez ce qui suit à <filename>/etc/named/db.example.com</filename> :
|
|
| 2009-03-23 |
Pour que les clients déterminent le KDC du domaine, quelques enregistrements DNS SRV sont nécessaires. Ajoutez ce qui suit à <filename>/etc/named/db.example.com</filename> :
|
|
| 2009. |
_kerberos._udp.EXAMPLE.COM. IN SRV 1 0 88 kdc01.example.com.
_kerberos._tcp.EXAMPLE.COM. IN SRV 1 0 88 kdc01.example.com.
_kerberos._udp.EXAMPLE.COM. IN SRV 10 0 88 kdc02.example.com.
_kerberos._tcp.EXAMPLE.COM. IN SRV 10 0 88 kdc02.example.com.
_kerberos-adm._tcp.EXAMPLE.COM. IN SRV 1 0 749 kdc01.example.com.
_kpasswd._udp.EXAMPLE.COM. IN SRV 1 0 464 kdc01.example.com.
|
|
| 2009-03-23 |
_kerberos._udp.EXAMPLE.COM. IN SRV 1 0 88 kdc01.example.com.
_kerberos._tcp.EXAMPLE.COM. IN SRV 1 0 88 kdc01.example.com.
_kerberos._udp.EXAMPLE.COM. IN SRV 10 0 88 kdc02.example.com.
_kerberos._tcp.EXAMPLE.COM. IN SRV 10 0 88 kdc02.example.com.
_kerberos-adm._tcp.EXAMPLE.COM. IN SRV 1 0 749 kdc01.example.com.
_kpasswd._udp.EXAMPLE.COM. IN SRV 1 0 464 kdc01.example.com.
|
|
| 2010. |
Replace <emphasis>EXAMPLE.COM</emphasis>, <emphasis>kdc01</emphasis>, and <emphasis>kdc02</emphasis> with your domain name, primary KDC, and secondary KDC.
|
|
| 2009-03-23 |
Remplacer <emphasis>EXAMPLE.COM</emphasis>, <emphasis>kdc01</emphasis>, et <emphasis>kdc02</emphasis> avec votre nom de domaine, de serveur KDC primaire et secondaire.
|
|
| 2011. |
See <xref linkend="dns"/> for detailed instructions on setting up DNS.
|
|
| 2009-03-23 |
Voyez <xref linkend="dns"/> pour des instructions détaillées sur le paramétrage des DNS.
|
|
| 2012. |
Your new Kerberos Realm is now ready to authenticate clients.
|
|
| 2009-03-23 |
Votre nouveau domaine Kerberos est maintenant prêt à authentifier des clients.
|
|
| 2013. |
Secondary KDC
|
|
| 2009-03-23 |
KDC secondaire
|
|
| 2014. |
Once you have one Key Distribution Center (KDC) on your network, it is good practice to have a Secondary KDC in case the primary becomes unavailable.
|
|
| 2009-03-23 |
Une fois que vous avez un KDC (Key Distribution Center) opérationnel sur votre réseau, il est habituel de créer un KDC secondaire au cas où le premier deviendrait indisponible.
|
|
| 2015. |
First, install the packages, and when asked for the Kerberos and Admin server names enter the name of the Primary KDC:
|
|
| 2009-03-23 |
Premièrement, installez les paquets, et lors de la demande des noms de serveurs Kerberos et Admin, entrez le nom du premier serveur KDC.
|
|
| 2016. |
Once you have the packages installed, create the Secondary KDC's host principal. From a terminal prompt, enter:
|
|
| 2009-03-23 |
Une fois les paquets installés, créez un hôte KDC secondaire. Dans un terminal, saisissez :
|
|
| 2009-03-23 |
Une fois les paquets installées, créez le second hôte KDC principal. Dans un terminal, saisissez :
|
|
| 2017. |
kadmin -q "addprinc -randkey host/kdc02.example.com"
|
|
| 2009-03-23 |
kadmin -q "addprinc -randkey host/kdc02.example.com"
|
|
| 2018. |
After, issuing any <application>kadmin</application> commands you will be prompted for your <emphasis>username/admin@EXAMPLE.COM</emphasis> principal password.
|
|
| 2009-03-23 |
Ensuite, l'exécution de n'importe quelle commande <application>kadmin</application> nécessitera l'introduction du mot de passe principal de <emphasis>username/admin@EXAMPLE.COM</emphasis>.
|
|
| 2019. |
Extract the <emphasis>keytab</emphasis> file:
|
|
| 2009-03-23 |
Extrayez le fichier <emphasis>keytab</emphasis> :
|
|
| 2020. |
kadmin -q "ktadd -k keytab.kdc02 host/kdc02.example.com"
|
|
| 2009-03-23 |
kadmin -q "ktadd -k keytab.kdc02 host/kdc02.example.com"
|
|
| 2021. |
There should now be a <filename>keytab.kdc02</filename> in the current directory, move the file to <filename>/etc/krb5.keytab</filename>:
|
|
| 2009-03-23 |
Il devrait y avoir un fichier <filename>keytab.kdc02</filename> dans le dossier actuel. Déplacez le vers <filename>/etc/krb5.keytab</filename> :
|
|
| 2022. |
sudo mv keytab.kdc02 /etc/krb5.keytab
|
|
| 2009-03-23 |
sudo mv keytab.kdc02 /etc/krb5.keytab
|
|
| 2023. |
If the path to the <filename>keytab.kdc02</filename> file is different adjust accordingly.
|
|
| 2009-03-23 |
Si le chemin vers le fichier <filename>keytab.kdc02</filename> est différent, adaptez le en conséquence.
|
|
| 2024. |
Also, you can list the principals in a Keytab file, which can be useful when troubleshooting, using the <application>klist</application> utility:
|
|
| 2009-03-23 |
Vous pouvez également lister les principales dans un fichier Keytab à l'aide de <application>klist</application>, ce qui peut être utile au dépannage :
|
|
| 2025. |
sudo klist -k /etc/krb5.keytab
|
|
| 2009-03-23 |
sudo klist -k /etc/krb5.keytab
|
|
| 2026. |
Next, there needs to be a <filename>kpropd.acl</filename> file on each KDC that lists all KDCs for the Realm. For example, on both primary and secondary KDC, create <filename>/etc/krb5kdc/kpropd.acl</filename>:
|
|
| 2009-03-23 |
Ensuite, il doit exister un fichier <filename>kpropd.acl</filename> sur chaque KDC qui liste tous les KDC du domaine. Par exemple, sur les serveurs primaire et seondaire, créez le fichier <filename>/etc/krb5kdc/kpropd.acl</filename> :
|
|
| 2027. |
host/kdc01.example.com@EXAMPLE.COM
host/kdc02.example.com@EXAMPLE.COM
|
|
| 2009-03-23 |
host/kdc01.example.com@EXAMPLE.COM
host/kdc02.example.com@EXAMPLE.COM
|
|
| 2028. |
Create an empty database on the <emphasis>Secondary KDC</emphasis>:
|
|
| 2009-03-23 |
Créez une banque de données vide pour le <emphasis>KDC secondaire</emphasis> :
|
|
| 2029. |
sudo kdb5_util -s create
|
|
| 2009-03-23 |
sudo kdb5_util -s create
|
|
| 2030. |
Now start the <application>kpropd</application> daemon, which listens for connections from the <application>kprop</application> utility. <application>kprop</application> is used to transfer dump files:
|
|
| 2009-03-23 |
Maintenant, démarrez le service <application>kpropd</application>, qui écoute les connexions depuis l'utilitaire <application>kprop</application>. <application>kprop</application> est utilisé pour transférer des fichiers de sauvegarde :
|
|
| 2031. |
sudo kpropd -S
|
|
| 2009-03-23 |
sudo kpropd -S
|
|
| 2032. |
From a terminal on the <emphasis>Primary KDC</emphasis>, create a dump file of the principal database:
|
|
| 2009-03-23 |
Depuis un terminal sur le <emphasis>KDC primaire</emphasis>, créez un fichier de sauvegarde de la banque de données principale :
|
|
| 2033. |
sudo kdb5_util dump /var/lib/krb5kdc/dump
|
|
| 2009-03-23 |
sudo kdb5_util dump /var/lib/krb5kdc/dump
|
|
| 2034. |
Extract the Primary KDC's <emphasis>keytab</emphasis> file and copy it to <filename>/etc/krb5.keytab</filename>:
|
|
| 2009-03-23 |
Décompressez le fichier <emphasis>keytab</emphasis> du KDC primaire et copiez le dans <filename>/etc/krb5.keytab</filename> :
|
|
| 2035. |
kadmin -q "ktadd -k keytab.kdc01 host/kdc01.example.com"
|
|
| 2009-03-23 |
kadmin -q "ktadd -k keytab.kdc01 host/kdc01.example.com"
|
|
| 2036. |
sudo mv keytab.kdc01 /etc/kr5b.keytab
|
|
| 2009-03-23 |
sudo mv keytab.kdc01 /etc/kr5b.keytab
|
|
| 2037. |
Make sure there is a <emphasis>host</emphasis> for <emphasis>kdc01.example.com</emphasis> before extracting the Keytab.
|
|
| 2009-03-23 |
Assurez-vous qu'il y ait un <emphasis>hôte</emphasis> pour <emphasis>kdc01.example.com</emphasis> avant d'extraire le Keytab.
|
|
| 2038. |
Using the <application>kprop</application> utility push the database to the Secondary KDC:
|
|
| 2009-03-23 |
L'utilitaire <application>kprop</application> envoie la banque de données vers le serveur KDC secondaire :
|
|
| 2039. |
sudo kprop -r EXAMPLE.COM -f /var/lib/krb5kdc/dump kdc02.example.com
|
|
| 2009-03-23 |
sudo kprop -r EXAMPLE.COM -f /var/lib/krb5kdc/dump kdc02.example.com
|
|
| 2040. |
There should be a <emphasis>SUCCEEDED</emphasis> message if the propagation worked. If there is an error message check <filename>/var/log/syslog</filename> on the secondary KDC for more information.
|
|
| 2009-03-23 |
Il devrait y avoir un message de <emphasis>succès</emphasis> si le transfert s'est bien passé. S'il y a un message d'erreur, vérifiez <filename>/var/log/syslog</filename> sur le KDC secondaire pour plus d'informations.
|
|
| 2041. |
You may also want to create a <application>cron</application> job to periodically update the database on the Secondary KDC. For example, the following will push the database every hour:
|
|
| 2009-03-23 |
Vous pouvez également créer un job <application>cron</application> pour mettre à jour la banque de données périodiquement sur le KDC secondaire. Par exemple, ceci va transférer la banque de données toutes les heures :
|
|
| 2042. |
# m h dom mon dow command
0 * * * * /usr/sbin/kdb5_util dump /var/lib/krb5kdc/dump && /usr/sbin/kprop -r EXAMPLE.COM -f /var/lib/krb5kdc/dump kdc02.example.com
|
|
| 2009-03-23 |
# m h dom mon dow command
0 * * * * /usr/sbin/kdb5_util dump /var/lib/krb5kdc/dump && /usr/sbin/kprop -r EXAMPLE.COM -f /var/lib/krb5kdc/dump kdc02.example.com
|
|
| 2043. |
Back on the <emphasis>Secondary KDC</emphasis>, create a <emphasis>stash</emphasis> file to hold the Kerberos master key:
|
|
| 2009-03-23 |
De retour sur le <emphasis>KDC secondaire</emphasis>, créez un fichier <emphasis>stash</emphasis> pour contenir la clé maître de Kerberos :
|
|
| 2044. |
sudo kdb5_util stash
|
|
| 2009-03-23 |
sudo kdb5_util stash
|
|
| 2045. |
Finally, start the <application>krb5-kdc</application> daemon on the Secondary KDC:
|
|
| 2009-03-23 |
Finalement, démarrez le service <application>krb5-kdc</application> sur le KDC secondaire :
|
|
| 2046. |
sudo /etc/init.d/krb5-kdc start
|
|
| 2009-03-23 |
sudo /etc/init.d/krb5-kdc start
|
|
| 2047. |
The <emphasis>Secondary KDC</emphasis> should now be able to issue tickets for the Realm. You can test this by stopping the <application>krb5-kdc</application> daemon on the Primary KDC, then use <application>kinit</application> to request a ticket. If all goes well you should receive a ticket from the Secondary KDC.
|
|
| 2009-03-23 |
Le <emphasis>KDC secondaire</emphasis> devrait maintenant être capable d'émettre des tickets pour le Domaine. Vous pouvez tester ceci en stoppant le service <application>krb5-kdc</application> sur le KDC primaire, puis en utilisant <application>kinit</application> pour demander un ticket. Si tout va bien, vous devriez recevoir un ticket du KDC secondaire.
|
|
| 2048. |
Kerberos Linux Client
|
|
| 2009-03-23 |
Client Kerberos Linux
|
|
| 2049. |
This section covers configuring a Linux system as a <application>Kerberos</application> client. This will allow access to any kerberized services once a user has successfully logged into the system.
|
|
| 2009-03-23 |
Cette section couvre la configuration d'un système Linux comme un client <application>Kerberos</application>. Ceci va autoriser l'accès à n'importe quel service kerberisé une fois l'utilisateur correctement connecté au système.
|
|
| 2050. |
In order to authenticate to a Kerberos Realm, the <application>krb5-user</application> and <application>libpam-krb5</application> packages are needed, along with a few others that are not strictly necessary but make life easier. To install the packages enter the following in a terminal prompt:
|
|
| 2009-03-23 |
Pour être authentifié à un Domaine Kerberos, les paquets <application>krb5-user</application> et <application>libpam-krb5</application> sont requis, ainsi que quelques autres qui ne sont pas nécessaires mais rendent la vie plus simple. Pour installer les paquets tapez la commande suivante dans un terminal :
|
|
| 2051. |
sudo apt-get install krb5-user libpam-krb5 libpam-ccreds auth-client-config
|
|
| 2009-03-24 |
sudo apt-get install krb5-user libpam-krb5 libpam-ccreds auth-client-config
|
|
| 2052. |
The <application>auth-client-config</application> package allows simple configuration of PAM for authentication from multiple sources, and the <application>libpam-ccreds</application> will cache authentication credentials allowing you to login in case the Key Distribution Center (KDC) is unavailable. This package is also useful for laptops that may authenticate using Kerberos while on the corporate network, but will need to be accessed off the network as well.
|
|
| 2009-03-24 |
Le paquet <application>auth-client-config</application> permet la configuration simplifiée de PAM pour l'identification depuis plusieurs sources, et <application>libpam-ccreds</application> va mettre en cache les références de l'identification pour vous permettre de vous connecter si le KDC (Key Distribution Center) n'est pas disponible. Ce paquet est également utile pour les portables qui s'identifient via Kerberos sur leur réseau professionnel, mais doivent également rester accessibles en dehors ce réseau.
|
|
| 2053. |
To configure the client in a terminal enter:
|
|
| 2009-03-24 |
Pour configurer le client, tapez dans un terminal :
|
|
| 2054. |
sudo dpkg-reconfigure krb5-config
|
|
| 2009-03-24 |
sudo dpkg-reconfigure krb5-config
|
|
