Kerberos é um conhecido protocolo de autenticação de rede. Atualmente as duas implementações mais difundidas são a MIT Kerberos e a Heimdal. Neste documento instalaremos a primeira que foi citada.

Depois de descarregar o arquivo em sua estação, descompacte-o com:

# tar zxvf krb5-1.4.3.tar.gz

Acesse o diretório contendo os fontes do Kerberos, digitando:

# cd krb5-1.4.3/src

Para instalar os programas você deverá executar os procedimentos descritos no artigo utilizando a conta de usuário root. Vamos então gerar o Makefile, compilar, e instalar. Execute esta seqüencia de comandos:

# ./configure --prefix=/usr --enable-dns-for-realm --enable-thread-support
# make
# checkinstall

Chegou a hora de configurá-lo. Utilizando o seu editor de texto predileto, crie o arquivo /etc/krb5.conf e edite-o, adequando às suas necessidades. Dê uma olhada no arquivo utilizando para a configuração do ambiente descrito neste artigo:

# vi /etc/krb5.conf

[logging]
        default = FILE:/var/log/krb5.log
        kdc = FILE:/var/log/krb5kdc.log
        admin_server = FILE:/var/log/kadmind.log

[libdefaults]
        ticket_lifetime = 24000
        default_realm = PLAYBOY.COM.BR
        dns_lookup_realm = false
        dns_lookup_kdc = false
        clockskew = 300
        kdc_timesync = 1

[realms]
        PLAYBOY.COM.BR = {
                kdc = 69.171.38.1
        }

IMPORTANTE: Observe que o realm foi especificado com caracteres em maiúsculo. Este é um requisito do krb5. Caso você se esqueça e coloque em minúsculo ocorrerá um erro (que será visto mais adiante).

Vamos testar a autenticação via Kerberos, utilizando o usuário Administrator. Digite:

# kinit Administrator

Observe que o sistema já acrescentará as informações de domínio no momento em que lhe solicita que a senha seja digitada:

Password for Administrator@PLAYBOY.COM.BR:

Este teste pode ser feito com qualquer usuário do domínio, não necessariamente com o usuário Administrator. Como citado anteriormente, se o realm for informado em minúsculo no krb5.conf (playboy.com.br ao invés de PLAYBOY.COM.BR), ao ser informada a senha, o sistema retornará o seguinte erro:

kinit(v5): KDC reply did not match expectations while getting initial credentials

Durante a configuração do meu ambiente original me deparei com um problema relativamente pequeno, mas relevante: sincronismo entre as máquinas. Por padrão o Kerberos exige que haja no máximo 5 minutos de diferença entre o relógio da estação e o do servidor. Observe o parâmetro "clockskew = 300" no arquivo krb5.conf. Ele está justamente definindo o valor de 300 segundos como sendo o limite de diferença de horário entre os computadores. No momento da tentativa de autenticação, caso a diferença entre o horário das máquinas ultrapasse o estabelecido pela política do Kerberos, a mesma irá falhar, retornando o seguinte erro:

kinit(v5): Clock skew too great while getting initial credentials

Se for esse o caso, verifique as configurações de região, fuso-horário e ajustes do horário de verão.

Sugiro inclusive, na primeira vez que for tentar autenticar um usuário (utilizando kinit), informe uma senha inválida, objetivando receber a seguinte mensagem de erro:

kinit(v5): Preauthentication failed while getting initial credentials

Esta mensagem é um bom sinal, desde que tenha sido informada, propositalmente, uma senha inválida, pois indica que houve uma tentativa de autenticar o usuário mas as senhas não coincidiram. Tente novamente, agora com a senha correta: as chances de funcionar são imensas.

Em suma, o resultado de uma tentativa bem sucedida de autenticação pelo Kerberos é exatamente NADA. Isso mesmo: se ao executar o kinit (e informar a senha), o mesmo não lhe exibir nenhuma mensagem, comemore, pois até o presente momento você está indo bem, e o que se diz respeito à configuração do protocolo de autenticação está feito.