Chúng ta đã tạo chứng chỉ, bây giờ có thể áp dụng. Các tệp chứng chỉ và khóa cần đặt tại vị trí như chỉ ra trong các tệp cấu hình bên dưới. Bạn thêm hai dòng dưới đây vào bộ phận [kdcdefaults] của tệp kdc.conf

pkinit_identity = FILE:/var/lib/krb5kdc/cert.pem,/var/lib/krb5kdc/key.pem

pkinit_anchors = FILE:/var/lib/krb5kdc/ca-cert.pem

Dịch vụ kdc cần khởi động lại khi thay đổi cấu hình

systemctl restart kdc

Ở phía khách, tệp krb5.conf sẽ được bổ sung như sau:

# Begin /etc/krb5.conf

[realms]
    OMARINE.ORG = {
        admin_server = kerberos.omarine.org

        pkinit_anchors = FILE:/etc/kerberos/ca-cert.pem
        pkinit_eku_checking = kpServerAuth
        pkinit_kdc_hostname = omarine.omarine.org
        pkinit_identities = FILE:/etc/kerberos/emin-cert.pem,/etc/kerberos/emin-key.pem
    }

# End /etc/krb5.conf

Trong ví dụ, xác thực trước được áp dụng cho emin, các tệp chứng chỉ và khóa của emin được đổi tên thành emin-cert.pem và emin-key.pem. Lựa chọn cấu hình pkinit_identities có thể chỉ ra nhiều lần, mỗi lần cho một principal.

Các tệp khóa bí mật cần thay đổi chế độ truy cập chỉ dành cho chủ nhân

sudo chmod 600 /var/lib/krb5kdc/key.pem

sudo chmod 600 /etc/kerberos/emin-key.pem

Tệp khóa bí mật của emin cần đổi về chủ nhân của nó

sudo chown emin.users /etc/kerberos/emin-key.pem

Ngoài ra, cần thêm thuộc tính requires_preauth cho emin

kadmin -p root/admin -q 'modprinc +requires_preauth emin'

Bây giờ emin xin cấp vé sẽ không cần mật khẩu

Dưới đây là hình ảnh chứng chỉ của emin