Guide du mécanisme d'authentification pour l'entreprise de Sun

Comment configurer un client SEAM

Les paramètres de configuration suivants sont utilisés :

nom du secteur = ACME.COM

nom du domaine DNS = acme.com

KDC maître = kdc1.acme.com

KDC esclave = kdc2.acme.com

client = client.acme.com

principal admin = kws/admin

principal d'utilisateur = mre

URL d'aide en ligne = http://denver:8888/ab2/coll.384.1/SEAM/@AB2PageView/6956

Remarque :

Modifiez l'URL pour qu'il désigne la section "Outil d'administration SEAM", tel que décrit dans Installation de SEAM et notes de version.

Conditions préalables à la configuration d'un client SEAM.

Le logiciel client SEAM doit être installé.

Éditez le fichier de configuration Kerberos (krb5.conf).

Si vous utilisez la procédure de préconfiguration, vous n'avez pas besoin d'éditer ce fichier, mais vous devrez réviser le contenu. Afin de modifier le fichier par rapport à la version SEAM par défaut, vous devez changer les noms des secteurs et les noms des serveurs, et spécifier le chemin des fichiers d'aide pour gkadmin.

kdc1 # cat /etc/krb5/krb5.conf
[libdefaults]
        default_realm = ACME.COM

[realms]
                ACME.COM = {
                kdc = kdc1.acme.com
                kdc = kdc2.acme.com
                admin_server = kdc1.acme.com
        }

[domain_realm]
        .acme.com = ACME.COM
#
# si le nom du domaine et le nom du secteur sont équivalents,
# cette entrée n'est pas nécessaire
#
[logging]
        default = FILE:/var/krb5/kdc.log
        kdc = FILE:/var/krb5/kdc.log

[appdefaults]
    gkadmin = {
       help_url = http://denver:8888/ab2/coll.384.1/SEAM/@AB2PageView/6956

Facultatif : synchronisez avec l'horloge du KDC maître au moyen de NTP ou d'un autre mécanisme de synchronisation d'horloge.

Voir "Synchronisation des horloges des KDC et des clients SEAM" pour de plus amples renseignements sur NTP.

Facultatif : créez un principal d'utilisateur s'il n'en existe pas déjà un.

Vous devez créer un principal d'utilisateur seulement si l'utilisateur associé à cet hôte n'a pas de principal assigné. Voir "Comment créer un nouveau principal" pour des directives sur l'utilisation de l'outil d'administration SEAM. Voici un exemple de ligne de commande.

client1 # /usr/krb5/sbin/kadmin -p kws/admin
Entrer le mot de passe: <Entrez le mot de passe kws/admin>
kadmin: addprinc mre
Entrer le mot de passe du principal mre@ACME.COM: <tapez le mot de passe>
Entrer à nouveau le mot de passe du principal mre@ACME.COM: <tapez-le à nouveau>
kadmin:

Créez un principal root.

kadmin: addprinc root/client1.acme.com
Entrer le mot de passe du principal root/client1.acme.com@ACME.COM: <tapez le mot de passe>
Entrer à nouveau le mot de passe du principal root/client1.acme.com@ACME.COM: <tapez-le à nouveau>
kadmin: quit

(Facultatif) Si vous désirez qu'un utilisateur sur le client SEAM monte automatiquement les systèmes de fichiers NFS compatibles Kerberos au moyen de l'authentification Kerberos, vous devez authentifier l'utilisateur root.

Pour une sécurité maximale, ce processus est effectué avec la commande kinit ; toutefois, les utilisateurs devront employer kinit en tant que root chaque fois qu'ils devront monter un système de fichiers sécurisé par Kerberos. Vous pouvez choisir d'employer un fichier de table de clés à la place. Voir "Configuration de l'authentification de superutilisateur pour le montage des systèmes de fichiers NFS" pour des renseignements détaillés sur les exigences de la table de clés.

client1 # /usr/krb5/bin/kinit root/client1.acme.com
Mot de passe de root/client1.acme.com@ACME.COM: <Tapez le mot de passe>

Pour utiliser l'option de fichier de table de clés, ajoutez le principal root à la table de clés du client au moyen de kadmin:

client1 # /usr/krb5/sbin/kadmin -p kws/admin
Entrer le mot de passe : <Entrez le mot de passe kws/admin>
kadmin: ktadd root/client1.acme.com
kadmin: Entrée du principal root/client.acme.com avec
  numéro de version de clé 3 et type de chiffrement DES-CBC-CRC ajoutée à la table de clés
  WRFILE:/etc/krb5/krb5.keytab
kadmin: quit

Si vous voulez que le client avertisse les utilisateurs à propos de l'expiration des tickets Kerberos, créez une entrée dans le fichier /etc/krb5/warn.conf.

Voir warn.conf(4) pour de plus amples renseignements.

Modifiez le chemin de recherche du shell de l'utilisateur de manière à inclure l'emplacement des commandes et des pages de manuel SEAM.

Si vous avez installé le logiciel SEAM au moyen des fichiers de configuration et choisi d'actualiser automatiquement la définition PATH , vous devez uniquement modifier la variable MANPATH. Si vous employez le shell C, tapez :
% set path=(/usr/krb5/bin $path) % set MANPATH=(/usr/krb5/man $MANPATH)
Pour effectuer ces changements de manière permanente dans votre chemin de recherche de shell, éditez votre fichier de démarrage .cshrc ou .login.

Si vous utilisez le shell Bourne ou Korn, tapez :
$ PATH=/usr/krb5/bin:$PATH $ MANPATH=/usr/krb5/man:$MANPATH
Pour effectuer ces changements de manière permanente dans votre chemin de recherche de shell, éditez votre fichier de démarrage .profile.