Pardus Kerberos Yapılandırması: krb5.conf Dosya Analizi
Kurumsal ağlarda güvenli kimlik doğrulamanın temel taşı olan Kerberos, “biletleme” (ticketing) sistemiyle çalışır. Pardus sistemlerin bir Windows Active Directory etki alanına dahil olması veya Lider Ahenk üzerinden merkezi yönetilmesi sürecinde, parolanın ağ üzerinde açık bir şekilde dolaşmasını engelleyen yapı budur. /etc/krb5.conf dosyası, sistemin hangi etki alanına (Realm) ait olduğunu ve kimlik doğrulama sunucularını (KDC) nerede bulacağını belirleyen en kritik yapılandırma dosyasıdır.
Amaç ve Kapsam
Bu makalenin amacı, bir sistem yöneticisinin Kerberos biletleme mekanizmasını yönetebilmesini sağlamaktır.
- Kerberos bölümlerinin (
[libdefaults],[realms],[domain_realm]) görevlerini anlamak. - Şifreleme türleri ve bilet ömürlerini yapılandırmak.
- AD entegrasyonunda sıkça karşılaşılan “bilet alınamama” sorunlarını çözmek.
Önkoşullar
İşletim Sistemi: Pardus 21/23/25.
Gerekli Paketler: krb5-user, libpam-krb5.
Dosya Yolu: /etc/krb5.conf.
Zaman Senkronizasyonu: Kerberos 5 dakikadan fazla saat farkına izin vermez. NTP servisi mutlaka çalışıyor olmalıdır.
Teknik İnceleme: Örnek krb5.conf Analizi
Aşağıdaki yapı, kurumsal bir Pardus istemcisi için optimize edilmiştir:
[logging]
default = FILE:/var/log/krb5libs.log
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmind.log
[libdefaults]
default_realm = TESTDC.LOCAL
dns_lookup_realm = false
dns_lookup_kdc = true
ticket_lifetime = 24h
renew_lifetime = 7d
forwardable = true
rdns = false
pkinit_anchors = /etc/pki/tls/certs/ca-bundle.crt
spake_preauth_groups = edwards25519
[realms]
TESTDC.LOCAL = {
kdc = testdc.local
admin_server = testdc.local
}
[domain_realm]
.testdc.local = TESTDC.LOCAL
testdc.local = TESTDC.LOCALCode language: JavaScript (javascript)Parametre Açıklamaları
default_realm = TESTDC.LOCAL: Sistemin varsayılan etki alanıdır. Dikkat: Kerberos standartlarında Realm adları her zaman BÜYÜK HARFLE yazılmalıdır.
dns_lookup_kdc = true: Pardus’un etki alanı sunucusunu (KDC) DNS kayıtlarından (SRV kayıtları) otomatik bulmasını sağlar. Bu sayede sunucu IP’si değişse bile sistem çalışmaya devam eder.
ticket_lifetime = 24h: Alınan bir biletin geçerlilik süresidir. Genellikle 24 saat yeterlidir. Süre dolduğunda kullanıcının tekrar şifre girmesi veya biletin yenilenmesi gerekir.
rdns = false: Linux sistemlerde AD entegrasyonunda en çok hata veren kısımdır. false yapılması, ters DNS sorgusu kaynaklı kimlik doğrulama hatalarını engeller.
forwardable = true: Alınan biletin başka bir servise (örneğin SSH ile başka bir sunucuya geçerken) aktarılabilmesini sağlar.
Test ve Doğrulama
Yapılandırmanın çalışıp çalışmadığını şu komutlarla kontrol edebilirsiniz:
- Bilet Alma:
kinit kullanici_adi- Bilet Listeleme:
klist- Bilet Temizleme:
kdestroyDikkat Edilmesi Gerekenler
- Büyük/Küçük Harf:
krb5.confiçinde domain adının büyük harfle yazılmaması, biletin alınamamasına rağmen “şifre yanlış” gibi yanıltıcı hatalar almanıza neden olabilir. - DNS Sunucuları:
/etc/resolv.confdosyanızda kurumun DNS sunucuları tanımlı değilse, Kerberos sunucuyu bulamaz.
Sıkça Sorulan Sorular
“Clock skew too great” hatası alıyorum, ne yapmalıyım?
Pardus saati ile Domain Controller saati arasındaki fark 5 dakikayı aşmış. timedatectl komutuyla saati kontrol edin ve NTP’yi aktif edin.
Kullanıcı adımı doğru yazmama rağmen bilet alamıyorum?
Etki alanı adını (Realm) BÜYÜK harflerle yazıp yazmadığınızı kontrol edin.
Biletimin süresi dolduğunda internetim/erişimim kesiliyor?
ticket_lifetime süresi dolmuştur. kinit ile tekrar bilet alabilir veya SSSD üzerinden otomatik yenileme ayarlayabilirsiniz.
dns_lookup_kdc true iken neden sunucuyu bulamıyor?
DNS sunucunuzda _kerberos._udp.etki_alani.local gibi SRV kayıtlarının tanımlı olduğundan emin olun.
Aynı anda birden fazla Realm kullanabilir miyim?
Evet, [realms] bölümü altına birden fazla etki alanı tanımlayabilir ve farklı domainlere bilet alabilirsiniz.
