Comment configurer un KDC maître

Pour donner un exemple complet, supposons que vous n'avez pas exécuté la procédure de préconfiguration. Si vous avez utilisé la procédure de préconfiguration en installant le logiciel, plusieurs des fichiers inclus dans cette procédure n'ont pas besoin d'être modifiés ; vous devriez toutefois consulter le contenu des fichiers.

Dans cette procédure, les paramètres de configuration suivants sont utilisés :

• nom du secteur = ACME.COM

• nom du domaine DNS = acme.com

• KDC maître = kdc1.acme.com

• KDC esclave = kdc2.acme.com

• principal admin = kws/admin

• URL d'aide en ligne = http://denver:8888/ab2/coll.384.1/SEAM/@AB2PageView/6956

  ---

  Remarque :

  Modifiez l'URL pour qu'il désigne la section "Outil d'administration SEAM" tel que décrit dans Installation de SEAM et notes de version.

  ---

1. Conditions préalables à la configuration d'un KDC maître.

   Cette procédure exige que le logiciel du KDC maître soit installé. En outre, DNS doit être en cours d'exécution. Voir "Permutation de KDC maître et esclave" pour des directives de nomenclature particulières si ce maître doit être permutable.

2. Adoptez l'identité de superutilisateur sur le KDC maître.

3. Éditez le fichier de configuration Kerberos (krb5.conf).

   Vous devez changer les noms des secteurs et des serveurs. Pour une description complète de ce fichier, consultez la page de manuel krb5.conf(4). Si vous avez installé le logiciel SEAM au moyen des fichiers de configuration, vérifiez le contenu du fichier plutôt que de le modifier.

   kdc1 # cat /etc/krb5/krb5.conf [libdefaults] default_realm = ACME.COM [realms] ACME.COM = { kdc = kdc1.acme.com kdc = kdc2.acme.com admin_server = kdc1.acme.com } [domain_realm] .acme.com = ACME.COM # # si le nom du domaine et le nom du secteur sont équivalents, # cette entrée n'est pas nécessaire # [logging] default = FILE:/var/krb5/kdc.log kdc = FILE:/var/krb5/kdc.log [appdefaults] gkadmin = { help_url = http://denver:8888/ab2/coll.384.1/SEAM/@AB2PageView/6956 }

   Dans cet exemple, les lignes correspondant à default_realm, kdc, admin_server et toutes les entrées domain_realm ont été modifiées. La ligne de default_realm est incluse pour rendre l'exemple complet, mais cette entrée ne sera pas créée par le processus d'installation si les noms de secteur et de domaine sont équivalents. En outre, la ligne définissant help_url a été modifiée.

4. Éditez le fichier de configuration KDC (kdc.conf).

   Vous devez changer le nom du secteur. Pour une description complète de ce fichier, consultez la page de manuel kdc.conf(4). Si vous avez installé le logiciel SEAM au moyen des fichiers de configuration, vérifiez le contenu du fichier plutôt que de le modifier.

   kdc1 # cat /etc/krb5/kdc.conf [kdcdefaults] kdc_ports = 88,750 [realms] ACME.COM= { profile = /etc/krb5/krb5.conf database_name = /var/krb5/principal admin_keytab = /var/krb5/kadm5.keytab acl_file = /var/krb5/kadm5.acl kadmind_port = 749 max_life = 8h 0m 0s max_renewable_life = 7d 0h 0m 0s }

   Dans cet exemple, la définition du nom du secteur dans la section realms a été modifiée.

5. Créez la base de données KDC au moyen de kdb5_util.

   La commande kdb5_util crée la base de données KDC et, lorsqu'elle est utilisée avec l'option -s , crée un fichier de réserve permettant d'authentifier le KDC pour lui-même avant le lancement des démons kadmind et krb5kdc.

   kdc1 # /usr/krb5/sbin/kdb5_util create -r ACME.COM -s Initialisation de la base de données '/var/krb5/principal' du secteur 'ACME.COM' nom de la clé maîtresse 'K/M@ACME.COM' Il vous sera demandé d'entrer le mot de passe maître de la base de données. N'OUBLIEZ PAS ce mot de passe, il est essentiel. Entrez la clé maîtresse de la base de données KDC : <tapez la clé> Entrez à nouveau la clé maîtresse de la base de données KDC pour vérifier : <tapez-la à nouveau>

   L'option -r suivie du nom du secteur n'est pas requise si le nom du secteur est équivalent au nom du domaine de l'espace de nom du serveur.

6. Éditez le fichier de liste de contrôle d'accès Kerberos (kadm5.acl).

   Une fois rempli, /etc/krb5/kadm5.acl devrait contenir tous les noms de principal autorisés à administrer le KDC. Voici un exemple de première entrée ajoutée :

   kws/admin@ACME.COM *

   Cette entrée autorise le principal kws/admin dans le secteur ACME.COM à modifier les principaux ou les politiques dans le KDC. L'installation par défaut inclut un symbole "*" afin de désigner tous les principaux admin. Vu que cela pourrait présenter des risques de sécurité, il est plus sécuritaire d'inclure une liste de tous les principaux admin.

7. Lancez kadmin.local.

   Les sous-étapes suivantes créent les principaux utilisés par SEAM.

   kdc1 # /usr/krb5/sbin/kadmin.local kadmin.local:

   1. Ajoutez les principaux d'administration à la base de données avec kadmin.local.

      Vous pouvez ajouter autant de principaux admin que nécessaire. Vous devez ajouter au moins un principal admin pour terminer le processus de configuration du KDC. Pour cet exemple, un principal kws/admin est ajouté. Vous pouvez taper un nom de principal approprié au lieu de "kws."

      kadmin.local: addprinc kws/admin Entrer le mot de passe du principal kws/admin@ACME.COM: <tapez le mot de passe> Entrer à nouveau le mot de passe du principal kws/admin@ACME.COM: <tapez-le à nouveau> Principal "kws/admin@ACME.COM" créé. kadmin.local:

   2. Créez un fichier de table de clés pour kadmin au moyen de kadmin.local.

      Cette suite de commandes crée un fichier de table de clés spécial avec des entrées de principal pour kadmin et changepw. Ces principaux sont requis pour le service kadmind.

      kadmin.local: ktadd -k /etc/krb5/kadm5.keytab kadmin/kdc1.acme.com Entrée pour le principal kadmin/kdc1.acme.com avec numéro de version de clé 3 et type de chiffrement DES-CBC-CRC ajoutée à la table de clés WRFILE:/etc/krb5/kadm5.keytab. kadmin.local: ktadd -k /etc/krb5/kadm5.keytab changepw/kdc1.acme.com Entrée pour le principal changepw/kdc1.acme.com avec numéro de version de clé 3 et type de chiffrement DES-CBC-CRC ajoutée à la table de clés WRFILE:/etc/krb5/kadm5.keytab. kadmin.local:

   3. Quittez kadmin.local

      Vous avez ajouté tous les principaux requis pour les étapes suivantes.

      kadmin.local: quit

8. Démarrez les démons Kerberos.

   kdc1 # /etc/init.d/kdc start kdc1 # /etc/init.d/kdc.master start

9. Démarrez kadmin.

   Vous pouvez maintenant ajouter des principaux au moyen de l'outil d'administration SEAM. Cet exemple de ligne de commande est donné à des fins de simplicité. Vous devez vous connecter avec un des noms de principal admin créés antérieurement dans cette procédure.

   kdc1 # /usr/krb5/sbin/kadmin -p kws/admin Entrer le mot de passe : <Entrez le mot de passe kws/admin> kadmin:

   1. Créez le principal de l'hôte du KDC maître avec kadmin.

      Le principal de l'hôte est utilisé par les applications compatibles Kerberos (telles que klist et kprop) ainsi que par les services compatibles Kerberos (tels que ftp et telnet).

      kadmin: addprinc -randkey host/kdc1.acme.com Principal "host/kdc1.acme.com@ACME.COM" créé. kadmin:

   2. Facultatif : Créez le principal racine du KDC maître avec kadmin.

      Ce principal est employé pour le montage NFS authentifié, et peut donc ne pas être requis pour un KDC maître.

      kadmin: addprinc root/kdc1.acme.com Entrer le mot de passe du principal root/kdc1.acme.com@ACME.COM: <tapez le mot de passe> Entrer à nouveau le mot de passe du principal root/kdc1.acme.com@ACME.COM: <tapez-le à nouveau> Principal "root/kdc1.acme.com@ACME.COM" créé. kadmin:

   3. Ajoutez le principal de l'hôte du KDC maître au fichier de table de clés du KDC maître.

      L'ajout du principal de l'hôte au fichier de table de clés permet à ce principal d'être automatiquement utilisé.

      kadmin: ktadd host/kdc1.acme.com kadmin: Entrée du principal host/kdc1.acme.com avec numéro de version de clé 3 et type de chiffrement DES-CBC-CRC ajoutée à la table de clés WRFILE:/etc/krb5/krb5.keytab kadmin: quit

   4. Quittez kadmin

      kadmin: quit

10. Ajoutez une entrée pour chaque KDC dans le fichier de configuration de propagation (kpropd.acl).

    Pour une description complète de ce fichier, consultez la page de manuel kprop(1M). Si vous avez installé le logiciel SEAM au moyen des fichiers de configuration, vérifiez le contenu du fichier plutôt que de le modifier.

    kdc1 # cat /etc/krb5/kpropd.acl host/kdc1.acme.com@ACME.COM host/kdc2.acme.com@ACME.COM

11. Facultatif : Synchronisez l'horloge du KDC maître au moyen de NTP ou d'un autre mécanisme de synchronisation d'horloge.

    Il n'est pas nécessaire d'installer et d'utiliser NTP, mais chaque horloge doit être réglée à l'heure par défaut définie dans la section libdefaults du fichier krb5.conf pour que l'authentification réussisse. Voir le "Synchronisation des horloges des KDC et des clients SEAM" pour de plus amples renseignements sur NTP.