test

Guide du mécanisme d'authentification pour l'entreprise de Sun

Comment établir une authentification intersecteur hiérarchique

Dans cet exemple, nous utiliserons deux secteurs - ENG.EAST.ACME.COM et EAST.ACME.COM. L'authentification intersecteur sera établie dans les deux sens. Cette procédure doit être effectuée sur le KDC maître dans les deux secteurs.

  1. Conditions préalables à l'établissement d'une authentification intersecteur hiérarchique.

    Cette procédure exige que le KDC maître de chaque secteur soit configuré. Pour tester complètement le processus, plusieurs KDC clients ou esclaves doivent être installés.

  2. Adoptez l'identité root sur le premier KDC maître.

  3. Créez les principaux du service de ticket d'octroi de tickets pour les deux secteurs avec kadmin.

    Vous devez vous connecter avec un des noms de principal admin créés lors de la configuration du KDC maître.


    # /usr/krb5/sbin/kadmin -p kws/admin
Entrer le mot de passe: <Entrez le mot de passe kws/admin>
kadmin: addprinc krbtgt/ENG.EAST.ACME.COM@EAST.ACME.COM
Entrer le mot de passe du principal krgtgt/ENG.EAST.ACME.COM@EAST.ACME.COM: <tapez le mot de passe>
kadmin: addprinc krbtgt/EAST.ACME.COM@ENG.EAST.ACME.COM
Entrer le mot de passe du principal krgtgt/EAST.ACME.COM@ENG.EAST.ACME.COM: <tapez le mot de passe>
kadmin: quit
    Remarque :

    Le mot de passe entré pour chaque principal de service doit être identique dans les deux KDC ; ainsi, le mot de passe pour krbtgt/ENG.EAST.ACME.COM@EAST.ACME.COM doit être le même dans les deux secteurs.

  4. Ajoutez des entrées au fichier de configuration Kerberos afin de définir les noms de domaine pour chaque secteur (krb5.conf).


    # cat /etc/krb5/krb5.conf
[libdefaults] 
. 
. 
[domain_realm]
        .eng.east.acme.com = ENG.EAST.ACME.COM
        .east.acme.com = EAST.ACME.COM

    Dans cet exemple, des noms de domaine sont définis pour les secteurs ENG.EAST.ACME.COM et EAST.ACME.COM. Il est important d'inclure d'abord le sous-domaine, car le fichier est exploré de haut en bas.

  5. Copiez le fichier de configuration Kerberos sur tous les clients dans ce secteur.

    Pour que l'authentification intersecteur fonctionne, la nouvelle version du fichier de configuration Kerberos (/etc/krb5/krb5.conf) doit être installée sur tous les systèmes (y compris les KDC esclaves et les autres serveurs).

  6. Répétez ces étapes dans le deuxième secteur.