Guide du mécanisme d'authentification pour l'entreprise de Sun

Configuration des clients SEAM

Les clients SEAM incluent tout hôte qui n'est pas un serveur KDC sur le réseau et devant recourir aux services SEAM. Cette section présente une procédure d'installation d'un client SEAM, ainsi que des renseignements spécifiques sur l'utilisation de l'authentification de superutilisateur afin de monter des systèmes de fichiers NFS.

Comment configurer un client SEAM

Les paramètres de configuration suivants sont utilisés :

nom du secteur = ACME.COM

nom du domaine DNS = acme.com

KDC maître = kdc1.acme.com

KDC esclave = kdc2.acme.com

client = client.acme.com

principal admin = kws/admin

principal d'utilisateur = mre

URL d'aide en ligne = http://denver:8888/ab2/coll.384.1/SEAM/@AB2PageView/6956

Remarque :

Modifiez l'URL pour qu'il désigne la section "Outil d'administration SEAM", tel que décrit dans Installation de SEAM et notes de version.

Conditions préalables à la configuration d'un client SEAM.

Le logiciel client SEAM doit être installé.

Éditez le fichier de configuration Kerberos (krb5.conf).

Si vous utilisez la procédure de préconfiguration, vous n'avez pas besoin d'éditer ce fichier, mais vous devrez réviser le contenu. Afin de modifier le fichier par rapport à la version SEAM par défaut, vous devez changer les noms des secteurs et les noms des serveurs, et spécifier le chemin des fichiers d'aide pour gkadmin.

kdc1 # cat /etc/krb5/krb5.conf
[libdefaults]
        default_realm = ACME.COM

[realms]
                ACME.COM = {
                kdc = kdc1.acme.com
                kdc = kdc2.acme.com
                admin_server = kdc1.acme.com
        }

[domain_realm]
        .acme.com = ACME.COM
#
# si le nom du domaine et le nom du secteur sont équivalents,
# cette entrée n'est pas nécessaire
#
[logging]
        default = FILE:/var/krb5/kdc.log
        kdc = FILE:/var/krb5/kdc.log

[appdefaults]
    gkadmin = {
       help_url = http://denver:8888/ab2/coll.384.1/SEAM/@AB2PageView/6956

Facultatif : synchronisez avec l'horloge du KDC maître au moyen de NTP ou d'un autre mécanisme de synchronisation d'horloge.

Voir "Synchronisation des horloges des KDC et des clients SEAM" pour de plus amples renseignements sur NTP.

Facultatif : créez un principal d'utilisateur s'il n'en existe pas déjà un.

Vous devez créer un principal d'utilisateur seulement si l'utilisateur associé à cet hôte n'a pas de principal assigné. Voir "Comment créer un nouveau principal" pour des directives sur l'utilisation de l'outil d'administration SEAM. Voici un exemple de ligne de commande.

client1 # /usr/krb5/sbin/kadmin -p kws/admin
Entrer le mot de passe: <Entrez le mot de passe kws/admin>
kadmin: addprinc mre
Entrer le mot de passe du principal mre@ACME.COM: <tapez le mot de passe>
Entrer à nouveau le mot de passe du principal mre@ACME.COM: <tapez-le à nouveau>
kadmin:

Créez un principal root.

kadmin: addprinc root/client1.acme.com
Entrer le mot de passe du principal root/client1.acme.com@ACME.COM: <tapez le mot de passe>
Entrer à nouveau le mot de passe du principal root/client1.acme.com@ACME.COM: <tapez-le à nouveau>
kadmin: quit

(Facultatif) Si vous désirez qu'un utilisateur sur le client SEAM monte automatiquement les systèmes de fichiers NFS compatibles Kerberos au moyen de l'authentification Kerberos, vous devez authentifier l'utilisateur root.

Pour une sécurité maximale, ce processus est effectué avec la commande kinit ; toutefois, les utilisateurs devront employer kinit en tant que root chaque fois qu'ils devront monter un système de fichiers sécurisé par Kerberos. Vous pouvez choisir d'employer un fichier de table de clés à la place. Voir "Configuration de l'authentification de superutilisateur pour le montage des systèmes de fichiers NFS" pour des renseignements détaillés sur les exigences de la table de clés.

client1 # /usr/krb5/bin/kinit root/client1.acme.com
Mot de passe de root/client1.acme.com@ACME.COM: <Tapez le mot de passe>

Pour utiliser l'option de fichier de table de clés, ajoutez le principal root à la table de clés du client au moyen de kadmin:

client1 # /usr/krb5/sbin/kadmin -p kws/admin
Entrer le mot de passe : <Entrez le mot de passe kws/admin>
kadmin: ktadd root/client1.acme.com
kadmin: Entrée du principal root/client.acme.com avec
  numéro de version de clé 3 et type de chiffrement DES-CBC-CRC ajoutée à la table de clés
  WRFILE:/etc/krb5/krb5.keytab
kadmin: quit

Si vous voulez que le client avertisse les utilisateurs à propos de l'expiration des tickets Kerberos, créez une entrée dans le fichier /etc/krb5/warn.conf.

Voir warn.conf(4) pour de plus amples renseignements.

Modifiez le chemin de recherche du shell de l'utilisateur de manière à inclure l'emplacement des commandes et des pages de manuel SEAM.

Si vous avez installé le logiciel SEAM au moyen des fichiers de configuration et choisi d'actualiser automatiquement la définition PATH , vous devez uniquement modifier la variable MANPATH. Si vous employez le shell C, tapez :
% set path=(/usr/krb5/bin $path) % set MANPATH=(/usr/krb5/man $MANPATH)
Pour effectuer ces changements de manière permanente dans votre chemin de recherche de shell, éditez votre fichier de démarrage .cshrc ou .login.

Si vous utilisez le shell Bourne ou Korn, tapez :
$ PATH=/usr/krb5/bin:$PATH $ MANPATH=/usr/krb5/man:$MANPATH
Pour effectuer ces changements de manière permanente dans votre chemin de recherche de shell, éditez votre fichier de démarrage .profile.

Configuration de l'authentification de superutilisateur pour le montage des systèmes de fichiers NFS

Si des utilisateurs veulent accéder à un système de fichiers NFS non compatible Kerberos, vous pouvez monter le système de fichiers en tant que root, ou l'accès au système de fichiers peut être automatique via l'agent de montage automatique lorsque les utilisateurs y accèdent (sans exiger les permissions root).

Le montage d'un système de fichiers NFS compatible Kerberos est similaire, mais comporte un obstacle supplémentaire. Pour monter un système de fichiers NFS compatible Kerberos, les utilisateurs doivent employer la commande kinit en tant que root afin d'obtenir des justificatifs d'identité pour le principal root du client, car le principal root d'un client ne figure généralement pas dans la table de clés du client. Cela s'applique également lorsque l'agent de montage automatique est configuré. Il s'agit non seulement d'une étape supplémentaire, mais force tous les utilisateurs à connaître le mot de passe root de leur système et le mot de passe root du principal.

Pour contourner cette situation, vous pouvez ajouter le principal root d'un client à sa table de clés, qui fournira automatiquement les justificatifs d'identité pour root. Bien que cela permette aux utilisateurs de monter des systèmes de fichiers NFS sans exécuter la commande kinit et facilite l'usage, cela constitue également un risque de sécurité. Par exemple, si une personne accède à un système en ayant le principal root dans sa table de clés, elle pourra obtenir les justificatifs d'identité pour root. Vous devez donc prendre les précautions de sécurité qui s'imposent. Voir "Administration des tables de clés" pour de plus amples renseignements.