test

Guide du mécanisme d'authentification pour l'entreprise de Sun

Configuration de l'authentification intersecteur

Il existe plusieurs manières de lier des secteurs l'un à l'autre afin que les utilisateurs d'un secteur puissent être authentifiés dans un autre. Normalement, cela est effectué en établissant une clé secrète partagée par les deux secteurs. La relation entre les secteurs peut être hiérarchique ou directionnelle (voir "Hiérarchie des secteurs").

Comment établir une authentification intersecteur hiérarchique

Dans cet exemple, nous utiliserons deux secteurs - ENG.EAST.ACME.COM et EAST.ACME.COM. L'authentification intersecteur sera établie dans les deux sens. Cette procédure doit être effectuée sur le KDC maître dans les deux secteurs.

  1. Conditions préalables à l'établissement d'une authentification intersecteur hiérarchique.

    Cette procédure exige que le KDC maître de chaque secteur soit configuré. Pour tester complètement le processus, plusieurs KDC clients ou esclaves doivent être installés.

  2. Adoptez l'identité root sur le premier KDC maître.

  3. Créez les principaux du service de ticket d'octroi de tickets pour les deux secteurs avec kadmin.

    Vous devez vous connecter avec un des noms de principal admin créés lors de la configuration du KDC maître.


    # /usr/krb5/sbin/kadmin -p kws/admin
Entrer le mot de passe: <Entrez le mot de passe kws/admin>
kadmin: addprinc krbtgt/ENG.EAST.ACME.COM@EAST.ACME.COM
Entrer le mot de passe du principal krgtgt/ENG.EAST.ACME.COM@EAST.ACME.COM: <tapez le mot de passe>
kadmin: addprinc krbtgt/EAST.ACME.COM@ENG.EAST.ACME.COM
Entrer le mot de passe du principal krgtgt/EAST.ACME.COM@ENG.EAST.ACME.COM: <tapez le mot de passe>
kadmin: quit
    Remarque :

    Le mot de passe entré pour chaque principal de service doit être identique dans les deux KDC ; ainsi, le mot de passe pour krbtgt/ENG.EAST.ACME.COM@EAST.ACME.COM doit être le même dans les deux secteurs.

  4. Ajoutez des entrées au fichier de configuration Kerberos afin de définir les noms de domaine pour chaque secteur (krb5.conf).


    # cat /etc/krb5/krb5.conf
[libdefaults] 
. 
. 
[domain_realm]
        .eng.east.acme.com = ENG.EAST.ACME.COM
        .east.acme.com = EAST.ACME.COM

    Dans cet exemple, des noms de domaine sont définis pour les secteurs ENG.EAST.ACME.COM et EAST.ACME.COM. Il est important d'inclure d'abord le sous-domaine, car le fichier est exploré de haut en bas.

  5. Copiez le fichier de configuration Kerberos sur tous les clients dans ce secteur.

    Pour que l'authentification intersecteur fonctionne, la nouvelle version du fichier de configuration Kerberos (/etc/krb5/krb5.conf) doit être installée sur tous les systèmes (y compris les KDC esclaves et les autres serveurs).

  6. Répétez ces étapes dans le deuxième secteur.

Comment établir l'authentification intersecteur directe

Cet exemple utilise deux secteurs : ENG.EAST.ACME.COM et SALES.WEST.ACME.COM. L'authentification intersecteur sera établie dans les deux sens. Cette procédure doit être effectuée sur le KDC maître dans les deux secteurs.

  1. Conditions préalables à l'établissement de l'authentification intersecteur directe

    Cette procédure exige que le KDC maître de chaque secteur soit configuré. Pour tester complètement le processus, plusieurs KDC clients ou esclaves doivent être installés.

  2. Adoptez l'identité de superutilisateur sur l'un des serveurs KDC maîtres.

  3. Créez les principaux du service de ticket d'octroi de tickets pour les deux secteurs avec kadmin.

    Vous devez vous connecter avec un des noms de principal admin créés lors de la configuration du KDC maître.


    # /usr/krb5/sbin/kadmin -p kws/admin
Entrer le mot de passe: <Entrez le mot de passe kws/admin>
kadmin: addprinc krbtgt/ENG.EAST.ACME.COM@SALES.WEST.ACME.COM
Entrer le mot de passe du principal
  krgtgt/ENG.EAST.ACME.COM@SALES.WEST.ACME.COM: <tapez le mot de passe>
kadmin: addprinc krbtgt/SALES.WEST.ACME.COM@ENG.EAST.ACME.COM
Entrer le mot de passe du principal
  krgtgt/SALES.WEST.ACME.COM@ENG.EAST.ACME.COM: <tapez le mot de passe>
kadmin: quit
    Remarque :

    Le mot de passe entré pour chaque principal de service doit être identique dans les deux KDC ; ainsi, le mot de passe pour krbtgt/ENG.EAST.ACME.COM@SALES.WEST.ACME.COM doit être le même dans les deux secteurs.

  4. Ajoutez des entrées dans le fichier de configuration Kerberos afin de définir le chemin direct du secteur distant ( kdc.conf).

    Cet exemple s'applique aux clients situés dans le secteur ENG.EAST.ACME.COM . Vous devez permuter les noms de secteur afin d'obtenir les définitions appropriées dans le secteur SALES.WEST.ACME.COM.


    # cat /etc/krb5/krb5.conf
[libdefaults] 
.
.
[capaths]
    ENG.EAST.ACME.COM = {
        SALES.WEST.ACME.COM = .
    }

    SALES.WEST.ACME.COM = {
         ENG.EAST.ACME.COM = .
    }

  5. Copiez le fichier de configuration Kerberos sur tous les clients dans le secteur courant.

    Pour que l'authentification intersecteur fonctionne, la nouvelle version du fichier de configuration Kerberos (krb5.conf) doit être installée sur tous les systèmes (y compris les KDC esclaves et les autres serveurs).

  6. Répétez ces étapes pour le deuxième secteur.