使用Kerberos5实现统一认证（一）

　　在认证用户的过程中，Kerberos KDC给用户授予一个临时的证书，TGT，典型地，这些证书有10或24小时的有效期，这个有效期是可以配置的，但是不能超过24小时，万一TGT被偷，小偷只能在TGT的有效期时间内使用，如果你只使用Kerberos进行身份认证，证书失效了不会引起问题，但是，如果你正在使用Kerberized服务，你需要培训你的用户在他们目前的证书失效后获取新的证书，即使他们仍然可以登陆。

　　Kerberos是在MIT创造出来的，最新的版本是Kerberos 5，它的协议定义在RFC 1510。今天，Kerberos有两个实现是可用的，参考文章后面的资源。MIT的Kerberos 5包括在Red Hat Linux中，而Heimdal包括在SuSe和Debian Linux发行版中，Kerberos 5实现也包括在微软的windows（2000以及更高版本）、Sun的Solaris（SEAM，Solaris2.6及更高版本）和Apple的Mac OS X中，我使用MIT的Kerberos发布版贯穿本文，因为它提供了简单密码质量检查功能，密码老化和密码历史，这些功能都是开箱即用的。

　　先决条件

　　在你转到Kerberos认证前需要满足两个先决条件，首先，所有包括在Kerberos中的计算机的时钟需要与运行KDC的机器进行同步，最简单的方法就是在所有的机器上使用网络时间协议（NTP）来同步。

　　第二个先决条件很难满足，所有计算机上的账号名、UID和GID都必需一样，这是必需的，因为这些账号变成一个新的与Kerberos账号无关的了，叫做委托人，你不得不仔细检查所有的本地文件/etc/passwd，以及检查这个需求是否满足，如果没有，你需要合并你的账号，如果你想添加windows或Mac OS X客户端到你的Kerberos设备上，你需要考虑那些机器上的所有帐户。

　　如果你决定使用来自你Linux发行版中的Kerberos程序包，简单地安装它，如果你想自己编译Kerberos发布包，请按照下面的指令做：