Présentation des diverses configuration DNS possibles pour faciliter le déploiement de kerberos.
Deux types d'enregistrement DNS sont utilisés par kerberos (MIT Kerberos 5) pour faciliter le déploiement de kerberos sur les postes clients.
Enregistrement SRV
Le premier (et le plus important) est l'enregistrement SRV, il permet de définir les différents serveurs kerberos disponibles sur une zone.
Kerberos défini plusieurs services configurables: kerberos, kpasswd, kerberos-adm et kerberos-master. Le premier étant le plus important car il permet d'obtenir la liste des contrôleurs de domaines disponibles.
| Service | Protocole | Port | Description | Exemple |
|---|---|---|---|---|
| kerberos | udp | 88 | Adresse d'un KDC | _kerberos._udp IN SRV 0 0 88 kdc2.sysadmin.net. |
| kpasswd | udp | 464 | Adresse d'un serveur d'administration kerberos, service de changement de mot de passes | _kpasswd._udp IN SRV 0 0 464 kdc1.sysadmin.net. |
| kerberos-adm | tcp | 749 | Adresse d'un serveur d'administration kerberos, service d'administration. | _kerberos-adm._tcp IN SRV 0 0 749 kdc1.sysadmin.net. |
| kerberos-master | udp | 88 | Adresse du KDC primaire, ou plus précisement le/les kdc directement impactés par un changement de mot de passe. Utilisé par les clients pour lors de la saisie d'un mot de passe incorrect pour valider que ce n'est pas un problème de propagation. | _kerberos-master._udp IN SRV 0 0 88 kdc1.sysadmin.net. |
Enregistrement TXT
Remplace les affectations de la section domain_realm du fichier /etc/krb5.conf.
| Service | Description | Exemple |
|---|---|---|
| kerberos | Associe un REALM kerberos avec le domaine dns. | _kerberos.asyd.net. IN TXT "SYSADMIN.NET". |
- Version imprimable
- Vous devez vous identifier ou créer un compte pour écrire des commentaires