网络安全课设Kerberos实验报告
基于Kerberos的访问控制实验设计
基于Kerberos的访问控制实验设计Kerberos是一个网络身份验证协议,用于实现强大的访问控制机制。
在本实验设计中,我们将使用Kerberos协议来设计一个基于Kerberos的访问控制系统,以保护网络资源的安全性。
以下是实验的详细设计步骤和要求。
1. 实验背景Kerberos是一种基于票据的身份验证协议,可提供网络中用户和服务器之间的安全通信。
它采用了强大的加密算法和认证机制,能够有效地防止网络中的身份伪造和信息泄露。
本实验旨在通过设计一个基于Kerberos的访问控制系统,加深对Kerberos协议的理解,并掌握其在实际网络安全中的应用。
2. 实验目的- 理解Kerberos协议的工作原理和安全机制。
- 使用Kerberos协议设计一个访问控制系统,以实现对网络资源的安全访问。
- 掌握Kerberos协议的配置和使用方法。
3. 实验材料- 一台运行Kerberos服务的服务器- 多台用于模拟用户和服务器的计算机- 安装了Kerberos客户端软件的计算机4. 实验步骤4.1 配置Kerberos服务器- 安装Kerberos服务器软件,并按照官方文档进行配置。
- 创建一个Kerberos数据库,并配置主要的身份验证和访问控制策略。
4.2 创建Kerberos主体和用户- 在Kerberos服务器上创建主体,包括服务器和用户。
主体是在Kerberos中唯一标识实体的名称。
- 为每个用户和服务器生成密钥,并将其存储在Kerberos数据库中。
4.3 配置Kerberos客户端- 在每台模拟用户和服务器的计算机上安装Kerberos客户端软件。
- 配置Kerberos客户端以连接到Kerberos服务器,并导入相应的密钥。
4.4 实施访问控制- 根据实际需求,定义访问控制策略,包括哪些用户可以访问哪些服务器以及何时可以访问。
- 在每次访问服务器之前,用户需要通过Kerberos服务器进行身份验证并获取访问票据。
凯撒密码实验报告册(3篇)
第1篇一、实验背景凯撒密码是一种古老的加密技术,由罗马皇帝凯撒发明。
它是一种替换加密,通过将明文字母表中的字母按照一个固定的偏移量进行替换,生成密文。
凯撒密码是最简单、最广为人知的加密技术之一,其加密和解密过程都非常简单。
二、实验目的1. 理解凯撒密码的加密和解密原理;2. 掌握凯撒密码的编程实现;3. 分析凯撒密码的安全性,了解其局限性;4. 比较凯撒密码与其他加密算法的差异。
三、实验环境1. 操作系统:Windows 102. 编程语言:Python3.83. 开发工具:PyCharm四、实验内容1. 凯撒密码加密和解密算法实现2. 凯撒密码安全性分析3. 凯撒密码与其他加密算法的比较五、实验步骤1. 凯撒密码加密和解密算法实现(1)定义凯撒密码加密和解密函数```pythondef caesar_encrypt(text, shift):encrypted_text = ""for char in text:if char.isalpha():shifted = ord(char) + shiftif char.isupper():if shifted > ord('Z'):shifted -= 26elif char.islower():if shifted > ord('z'):shifted -= 26encrypted_text += chr(shifted) else:encrypted_text += charreturn encrypted_textdef caesar_decrypt(text, shift):decrypted_text = ""for char in text:if char.isalpha():shifted = ord(char) - shiftif char.isupper():if shifted < ord('A'):shifted += 26elif char.islower():if shifted < ord('a'):shifted += 26decrypted_text += chr(shifted)else:decrypted_text += charreturn decrypted_text```(2)测试凯撒密码加密和解密函数```pythonif __name__ == "__main__":text = "Hello, World!"shift = 3encrypted_text = caesar_encrypt(text, shift)decrypted_text = caesar_decrypt(encrypted_text, shift)print("Original text:", text)print("Encrypted text:", encrypted_text)print("Decrypted text:", decrypted_text)```2. 凯撒密码安全性分析凯撒密码的安全性非常低,因为其密钥空间只有26个可能的值(即字母表中的字母数量)。
凯撒加密实验报告(3篇)
第1篇一、实验目的通过本次实验,掌握凯撒加密法的原理和步骤,了解其在密码学中的应用,并能够使用Python语言实现凯撒加密和解密功能。
二、实验原理凯撒加密法是一种最简单且最广为人知的替换加密技术。
其基本原理是将明文中的每个字母按照字母表的顺序向后(或向前)移动一个固定数目的位置,从而生成密文。
例如,当偏移量为3时,明文中的A将变成D,B变成E,以此类推。
凯撒加密法的密钥是偏移量,它决定了加密过程中字母的移动方向和距离。
密钥的取值范围是1到25,表示将字母表向后移动1到25个位置。
三、实验内容1. 凯撒加密使用Python语言实现凯撒加密功能,具体步骤如下:- 定义一个函数,接收明文和密钥作为参数。
- 将明文中的每个字母按照字母表的顺序向后移动密钥指定的位置。
- 对于超出字母表范围的字母,将其转换回字母表的首部。
- 返回加密后的密文。
2. 凯撒解密使用Python语言实现凯撒解密功能,具体步骤如下:- 定义一个函数,接收密文和密钥作为参数。
- 将密文中的每个字母按照字母表的顺序向前移动密钥指定的位置。
- 对于超出字母表范围的字母,将其转换回字母表的首部。
- 返回解密后的明文。
3. 实验演示使用实验代码演示凯撒加密和解密过程,包括以下示例:- 示例1:明文为“The quick brown fox jumps over the lazy dog”,密钥为3,加密后的密文为“Wkh txlfn eurzq ira mxpsv ryhu wkh odcb grj”。
- 示例2:密文为“Wkh txlfn eurzq ira mxpsv ryhu wkh odcb grj”,密钥为3,解密后的明文为“The quick brown fox jumps over the lazy dog”。
四、实验结果与分析1. 加密效果通过实验验证,凯撒加密法能够有效地将明文转换为密文,且解密过程也能够将密文恢复为明文。
结合公钥认证方案的Kerberos研究(论文)
结合公钥认证方案的Kerberos研究摘要:身份认证是网络通信双方在通信时验证对方身份的技术。
Kerberos是基于可信第三方KDC使用对称密钥加密算法的认证协议。
本文在对多种身份认证方法研究基础上,阐述了Kerberos的原理,并分析其安全性和缺陷,提出利用Kerberos公钥扩展方式来改善Kerberos系统。
关键词:身份认证; Kerberos;公钥证书;PKINIT协议第一章身份认证的研究与应用1.1身份认证概述身份认证的本质是被认证方有一些信息,如秘密的信息、个人持有的特殊硬件、个人特有的生物学信息,除被认证方自己外,该信息不能被任何第三方伪造。
如果被认证方能采用某些方法,使认证方相信他确实拥有那些秘密,则他的身份就得到了认证。
1.2身份认证方法的分类根据被认证方赖以证明身份的秘密的不同,身份认证方法可以分为三大类:基于秘密信息的身份认证技术,基于信物的身份认证技术和基于生物特征的身份认证技术。
大致来讲,有以下几种身份认证形式:(1)根据用户所知道的某个信息,如口令、密码;(2)根据用户所拥有的某个东西,用户必须持有的合法的物理介质,如智能卡、身份证、密钥盘;(3)根据用户所具有的某种生物特征,如指纹、声音、视网膜扫描等。
l 基于口令的认证方式基于口令的认证方式是较常用的一种技术。
认证方收到口令后,将其与系统中存储的用户口令进行比较,以确认对象是否为合法访问者。
其优点在于简单易行,一般的系统,如Windows,Unix,Netware均提供对口令认证的支持。
但这种方式存在严重的安全问题。
它是一种单因素的认证,安全性仅依赖于口令,口令一旦泄漏,用户即可被冒充。
也存在口令在传输过程中被截获的安全隐患。
2 基于信物(智能卡)的认证方式智能卡具有硬件加密功能,有较高的安全性。
每个用户持有一张智能卡,智能卡存储用户个性化的秘密信息,同时在验证服务器中也存放该秘密信息。
但其缺陷在于智能卡也可能会丢失、被复制,在这种情况下,系统的安全性也无从保障。
密码学课程设计信息安全
密码学课程设计信息安全一、教学目标本课程旨在通过学习密码学的基本原理和技术,使学生了解信息安全的重要性,掌握密码学的基本概念、加密算法、解密算法和密码协议,培养学生运用密码学知识分析和解决信息安全问题的能力。
1.了解密码学的基本概念和分类;2.掌握常见的加密算法(如DES、RSA等)和密码协议(如SSL/TLS等);3.了解密码学在信息安全领域的应用。
4.能够使用密码学算法进行数据加密和解密;5.能够分析和评估密码协议的安全性;6.能够运用密码学知识解决实际的信息安全问题。
情感态度价值观目标:1.增强学生对信息安全的意识,认识到密码学在保护信息安全中的重要性;2.培养学生对密码学研究的兴趣,激发学生探索和创新的精神;3.培养学生遵守信息安全法律法规,具有良好的道德品质和职业操守。
二、教学内容本课程的教学内容主要包括密码学的基本概念、加密算法、解密算法和密码协议。
具体安排如下:1.密码学的基本概念:密码学的发展历程、密码体制、加密与解密的基本原理;2.加密算法:对称加密算法(如DES、AES等)、非对称加密算法(如RSA、ECC等);3.解密算法:解密算法的基本原理和实现方法;4.密码协议:SSL/TLS协议、Kerberos协议等;5.密码学在信息安全领域的应用:数字签名、身份认证、数据完整性保护等。
三、教学方法本课程采用多种教学方法,以激发学生的学习兴趣和主动性,提高学生的实践能力。
具体方法如下:1.讲授法:通过讲解密码学的基本概念、原理和算法,使学生掌握密码学的基本知识;2.案例分析法:分析实际的信息安全案例,使学生了解密码学在实际应用中的作用;3.实验法:通过实验操作,让学生亲自体验密码学算法的加密和解密过程,提高学生的实践能力;4.讨论法:学生进行分组讨论,促进学生之间的交流与合作,培养学生的创新思维。
四、教学资源本课程的教学资源包括教材、参考书、多媒体资料和实验设备。
具体资源如下:1.教材:选用权威、实用的密码学教材,如《密码学导论》、《信息安全密码学》等;2.参考书:提供相关的密码学参考书籍,如《密码学手册》、《现代密码学》等;3.多媒体资料:制作精美的教学PPT,提供相关的视频教程、动画演示等;4.实验设备:配置相应的实验设备,如计算机、网络设备等,以支持实验教学的开展。
Window系统中Kerberos协议详情详情配置及大数据包分析报告报告材料
《网络安全协议》课程设计报告设计题目:Windows系统中Kerberos协议配置及数据包分析姓名:武永威班级:网信1104班学号: 311109050423指导老师:赵宗渠□理论叙述明确(5分)□实验环境配置正确(10分)□实验过程描述完整(10分)□实验过程截图准确(10分)□实验过程分析正确(10分)□协议中典型数据包获取完整(10分)□协议中数据包分析正确完整(10分)□实验报告思路清晰(20分)□报告格式规范(15分)1目录一、引言 (1)二、主要技术 (1)2.1虚拟机技术 (1)2.2 Kerberos技术 (1)2.2.1 Kerberos概述 (2)2.2.2 Kerberos中的票据 (2)2.2.3 Kerberos中的域 (2)2.2.4 Kerberos协议原理 (2)三、系统软件安装 (5)3.1 虚拟机的安装 (5)3.2 服务器端的安装 (5)3.3 客户端的安装 (8)四、实验环境设计 (8)4.1 软硬件配置 (8)4.2 实现步骤 (8)4.3 Windows Server 2003配置域服务器 (8)4.4 Windows XP上登录域 (13)五、实验结果分析 (15)5.1 Wireshark捕获的数据包 (15)5.2 AS-REQ (15)5.2.1包内数据 (15)5.2.2截图 (16)5.2.3报文分析 (16)5.3 AS-REP (17)5.3.1包内数据 (17)5.3.2截图 (20)5.4 TGS-REQ (20)5.4.1包内数据 (20)5.4.2截图 (23)5.5 TGS-REP (23)5.5.1包内数据 (23)5.5.2截图 (26)六、小结 (26)Window系统中Kerberos协议配置及数据包分析一、引言Kerberos协议是20世纪80年代由MIT开发的一种协议。
Kerberos主要是为TCP/IP网络设计的可信第三方鉴别协议,允许客户以一种安全的方式来访问网络资源。
网络安全实验报告 (5)
《网络安全》实验报告实验序号:5 实验项目名称:木马攻击与防范实验图1 运行nc接着再开一个dos窗口,运行ms05039 192.168.20.23 192.168.20.1 99 1图2 运行ms2)攻击成功后,在运行nc -vv -l -p 99 的dos窗口中出现如图3提示,若攻不成功请参照“缓冲区溢出攻击与防范实验”,再次进行攻击。
图3 攻击成功示意3)在此窗口中运行tftp -i 192.168.20.1 get g_server.exe图4 上载木马程序并运行图5 文件传送步骤3:运行木马客户程序控制远程主机1)打开程序端程序,单击快捷工具栏中的“添加主机”按扭图6 添加主机2)“文件管理器”使用。
点击各个驱动器或者文件夹前面的展开符号,可以浏览目标主机内容。
图7 成功下载文件后界面2)“命令控制台”使用。
单击“命令控制台”的标签,弹出命令控制台界面步骤4:删除“冰河”木马✧打开HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 如图8。
在目录中发现了一个默认的键值C:\WINNT\System32\kernel32.exe,这就是“冰河”木马在注册表中加入的键值,将它删除。
✧打开HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVesion\Runse rvices,如图9。
在目录中也发现了一个默认的键值C:\WINNT\System32\kernel32.exe,这也是“冰河”在注册表中加入的键值,将它删除。
上面两个注册表的子键目录Run和Runservices中存放的键值是系统启动时自启动的程序,一般病毒程序,木马程序,后门程序等都放在这些子键目录下,所以要经常检查这些目录下的程序。
图8 注册表编辑图9注册表编辑然后再进入C:\WINNT\System32目录,找到“冰河”的两个可执行文件Kernel32.exe 和Sysexplr.exe文件,将它们删除。
Kerberos认证服务配置-实验报告
Kerberos认证服务配置实验报告
实验背景:
在Windows系统中的密钥管理及证书认证服务一般可通过Windows服务器的证书服务和Kerberos认证服务来实现。
实验目的:
掌握Windows 2003 server中Kerberos认证服务的创建,了解Kerberos工作原理。
实验条件:
(1)Windows 2003 server活动目录AD组件
(2)基于Windows 2003 server的PC机
实验任务:
(1)掌握Kerberos基本原理
(2)在系统中实现基于Kerberos的认证
实验内容:见以下两个练习题。
习题:
1、服务器端配置
右击“我的电脑”,打开“属性”对话框:
安装活动目录AD:
选中“域控制器AD”,单击“下一步”:
在“新域的DNS全名”中输入“”:
选择“立即重新启动”,AD即可生效:
在“开始”——“程序”——“控制面板”中可以看到刚才安装的活动目录AD,打开“AD用户和计算机”,可以看到新建的域“”:
打开“”属性框,在组策略选项下单击“编辑”:
在“安全设置”属性下可以看到kerberos:
配置DNS:
“开始”——“程序”——“管理工具”——“配置您的服务器向导”:
打开“DNS”对话框,可以看到“”:
验证刚才新建的域是否连通:
由上面命令可以看到“”已经连通。
2、客户端配置
此时在“Support Tools”文件夹下可以看到有“ksetup.exe”和“ktpass.exe”两个应用程序,如下图所示:。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
附件《网络安全课程设计》实验报告格式2012-2013学年第2学期《网络安全课程设计》实验报告3实验名称:实验18 安全协议之Kerberos协议完成时间:2014-6-4(练习三)姓名:石心刚学号:110342124姓名:何伊林学号:110342106姓名:白冠军学号:110342101姓名:尹新来学号:110342136姓名:饶明艺学号:110342122指导教师:崔鸿班级:110342A实验目的1.了解身份认证的原理及其重要意义2.学习Kerberos身份认证全过程3.学会在Linux下配置Kerberos身份认证系统系统环境Linux网络环境交换网络结构实验工具krb5 v1.6.2实验步骤本练习主机A~F为一组。
实验角色说明如下:首先使用“快照X”恢复Linux系统环境。
一.配置主KDC在此过程中,将使用以下配置参数:领域名称= LABDNS 域名= lab主KDC = labadmin 主体= admin/adminadmin主体密码:admin数据库管理密码:jlcss(1)首先为主KDC改名,编辑/etc/sysconfig/network文件,把HOSTNAME改为kdc1,保存后重启系统。
(2)配置/etc/resolv.conf文件使本机找到DNS服务器,修改内容如下。
其中domain后面用来标识DNS域名,nameserver后面则用来标识DNS服务器的IP 地址。
在本实验中我们就以“应用服务器”作为DNS服务器,它的全限制域名是lab,IP可以根据实验情况进行调整。
(3)主KDC配置时钟同步服务ntpd。
Kerberos服务对于时间同步的要求是很高的,通过ntpd可以同步Kerberos系统中各台主机的时间。
修改/etc/ntp.conf,把OUTTIMESERVERS里的几行注释掉,然后添加一行。
上述内容表示对172.16.0.0网络内主机提供时钟同步服务。
(4)启动ntpd服务,输入:service ntpd start,然后将它设为开机自启,输入:chkconfig ntpd on。
(注意:该服务启动后需要几分钟的时间才可以正常使用)(5)修改/etc/hosts文件,当本机远程访问其它主机时,会先在此文件中查找其他主机信息。
修改内容如下:(6)修改/etc/krb5.conf,关于每个模块的信息可以参见实验原理。
需要修改的有三部分,具体如下面信息:首先在libdefaults里default_realm改为领域名称LAB;在realms里把kdc后面的值改为主KDC(即本机)信息,把default_realm改为DNS域名lab。
(7)切换至/opt/kerberos/var/krb5kdc目录,打开配置文件kdc.conf,将域名改为对应值(LAB)。
(8)创建数据库。
切换至/opt/kerberos/sbin目录,执行命令:./kdb5_util create -s,然后输入数据库管理密码jlcss并确认。
命令执行完毕后,会在/opt/kerberos/var/krb5kdc目录下生成若干principal文件,它们就是KDC的数据库文件。
(9)修改ACL文件,设置kerberos中各主体的权限。
切换至/opt/kerberos/var/krb5kdc目录,编辑文件kadm5.acl,内容形式如下(具体含义参见Kerberos设置相关文档)。
(10)为主KDC数据库添加主体。
切换至/opt/kerberos/sbin/目录,执行命令:./kadmin.local,进入kerberos控制台,按下面步骤为主KDC数据库添加主体。
①为数据库添加管理主体admin/admin,执行kerberos命令:addprinc admin/admin,并输入该管理员密码(这里设为admin)。
②为kadmind服务创建密钥表文件,此命令序列创建包含kadmin和changepw主体项的特殊密钥表文件kadm5.keytab。
执行kerberos命令:ktadd -k /opt/kerberos/var/krb5kdc/kadm5.keytab kadmin/admin kadmin/changepw。
③执行kerberos命令:listprincs,查看主体文件是否添加成功。
④执行kerberos命令:quit,退出kerberos控制台,返回至sbin目录。
(11)执行命令:./krb5kdc启动krb5kdc服务;执行命令:./kadmind,启动kadmind 服务。
(12)为使以上两个命令开机自启动,编辑/etc/rc.local文件,追加如下两行内容:二.配置从KDC在此过程中,将配置两个分别名为kdc2和kdc3 的新从KDC。
此外,还将配置增量传播。
此过程新添加的配置参数:从KDC = lab和lab。
(1)首先需要为两台从KDC改名,编辑/etc/sysconfig/network文件,把HOSTNAME改为kdc2或者kdc3,保存后重启系统。
(2)主、从三台KDC主机都修改/etc/hosts文件。
下面以主KDC为例,第一行为原始标识,后面三行为各KDC标识。
(hosts 文件需要修改,把主、从kdc分别写出来,127.0.0.1不变)。
(3)修改从KDC主机的/etc/resolv.conf为与主KDC一致。
然后同步主、从KDC的时间,从KDC执行命令:ntpdate 主kdcIP,不然在从KDC访问主KDC数据库时会出现时间不同步错误。
「注」从KDC同步时间后,可能会导致虚拟主机与宿主机系统时间不一致,从而影响实验平台的正常运行。
(4)从KDC参照主KDC修改/etc/krb5.conf文件,但注意要把第二个kdc行设成自己的主机信息,admin_server设成主KDC。
(5)主KDC进入sbin目录,执行命令:./kadmin -p admin/admin,输入管理员密码admin,进入kadmin控制台。
首先将主KDC主体添加到数据库中。
执行kadmin命令:addprinc -randkey host/lab其中randkey表示采用随机密钥,由于KDC用户可以通过管理员admin登录到数据库中,而不需要用本机的主体登录,所以采用随机密钥,这样可以极大地增加系统安全性。
继续执行kadmin命令:ktadd host/lab。
通过listprincs命令查看主体文件是否添加成功。
最后执行quit命令退出kadmin控制台。
(6)从KDC以admin用户启动kadmin。
将从KDC主机主体添加到数据库中,执行命令:addprinc -randkey host/lab(其中kdcX是自己的主机名)。
接下来执行命令:ktadd host/lab。
退出kadmin控制台。
(7)所有KDC请求TGT票据,只有在两台KDC都有TGT票据的时候,它们才能正常地进行数据传递。
切换至/opt/kerberos/bin目录,执行命令:./kinit -k -t /etc/krb5.keytab host/lab其中kinit是获取TGT票据的命令,参数k表示使用密码表文件,参数t表示指明密钥表文件所在位置,而命令行最后就是用户的主体。
执行命令:klist,查看KDC请求的TGT票据是否成功。
(8)主、从KDC在目录/opt/kerberos/var/krb5kdc下新建文本文件kpropd.acl,用于主、从KDC之间的数据传递。
所以该文件中应该有所有KDC主机信息三.配置应用服务器和客户机(主机D、E、F)(1)应用服务器和客户机也需要修改主机名,按照主、从KDC改名的方法,将它们分别改名为telnet_server、ftp_server和client,并重启系统。
(2)应用服务器和客户机修改/etc/hosts文件,使它包含系统中所有KDC和其它服务器及客户机的信息。
(配置方法参见步骤二|(2))。
(3)应用服务器和客户机修改/etc/resolv.conf文件,使之与主KDC一致。
然后应用服务器和客户机同步主KDC的时间,并执行命令:ntpdate 主kdcIP。
(4)主KDC为客户机添加主体,并更新从KDC数据库。
切换至/opt/kerberos/sbin目录,执行命令:./kadmin -p admin/admin,输入管理员密码admin,进入kadmin控制台。
为两台应用服务器添加主体,并为其设置一个初始密码。
执行命令:addprinc host/lab(其中hostname指的是分别对应于E、F的主机名),并在其后输入并确认该主体的密码。
为客户机添加主体,并为其设置一个初始密码,执行命令:addprinc client@LAB,并在其后输入并确认该主体的密码。
主KDC执行listprincs命令查看主体文件是否添加成功。
将上面设置的这三个主体的密码采用安全方式通知相应主机。
(5)客户机、应用服务器都设置/etc/krb5.conf文件,仅需修改libdefaults、domain_realm和realms三个模块,其中前两个部分与主KDC一致,realms模块中kdc和admin_server都填写主KDC的标识。
(6)应用服务器需要在本机创建一个加密原密钥的密钥表(keytab)。
在sbin目录下执行命令:./kadmin -p host/lab,并确认密码,登录主体数据库。
执行命令:ktadd host/lab,用以创建一个加密密码的密钥表文件/etc/krb5.keytab。
执行quit命令,退出kerberos控制台。
四.KDC之间的数据传递(1)在应用服务器获取密钥表文件后(即完成实验步骤三|(6)后),主KDC中新建一个用于数据传播文件slave_datatrans,也就是把整个KDC数据的数据信息打包到一个文件里,切换至/opt/kerberos/sbin目录,执行命令:./kdb5_util dump /opt/kerberos/var/krb5kdc/slave_datatrans。
在这一步才进行数据传播,是因为在前面的步骤中主KDC的数据库会被改变,而后面不会再变了。
(2)在本实验中所用的krb5-1.6.2版本中,需要在所有从KDC上新建一个空的kerberos数据库,且数据库密码要与主KDC的数据库密码相同。
在sbin目录中执行命令: ./kdb5_util create -s,然后输入数据库管理密码jlcss并确认。
(3)为了实现主KDC到从KDC的kerberos数据传播,需要在所有KDC上建立端口监听。
所有KDC在sbin目录中执行命令:./kpropd -S,机器就是自动监听传播端口(默认为88)。