test

Guide du mécanisme d'authentification pour l'entreprise de Sun

Comment établir l'authentification intersecteur directe

Cet exemple utilise deux secteurs : ENG.EAST.ACME.COM et SALES.WEST.ACME.COM. L'authentification intersecteur sera établie dans les deux sens. Cette procédure doit être effectuée sur le KDC maître dans les deux secteurs.

  1. Conditions préalables à l'établissement de l'authentification intersecteur directe

    Cette procédure exige que le KDC maître de chaque secteur soit configuré. Pour tester complètement le processus, plusieurs KDC clients ou esclaves doivent être installés.

  2. Adoptez l'identité de superutilisateur sur l'un des serveurs KDC maîtres.

  3. Créez les principaux du service de ticket d'octroi de tickets pour les deux secteurs avec kadmin.

    Vous devez vous connecter avec un des noms de principal admin créés lors de la configuration du KDC maître.


    # /usr/krb5/sbin/kadmin -p kws/admin
Entrer le mot de passe: <Entrez le mot de passe kws/admin>
kadmin: addprinc krbtgt/ENG.EAST.ACME.COM@SALES.WEST.ACME.COM
Entrer le mot de passe du principal
  krgtgt/ENG.EAST.ACME.COM@SALES.WEST.ACME.COM: <tapez le mot de passe>
kadmin: addprinc krbtgt/SALES.WEST.ACME.COM@ENG.EAST.ACME.COM
Entrer le mot de passe du principal
  krgtgt/SALES.WEST.ACME.COM@ENG.EAST.ACME.COM: <tapez le mot de passe>
kadmin: quit
    Remarque :

    Le mot de passe entré pour chaque principal de service doit être identique dans les deux KDC ; ainsi, le mot de passe pour krbtgt/ENG.EAST.ACME.COM@SALES.WEST.ACME.COM doit être le même dans les deux secteurs.

  4. Ajoutez des entrées dans le fichier de configuration Kerberos afin de définir le chemin direct du secteur distant ( kdc.conf).

    Cet exemple s'applique aux clients situés dans le secteur ENG.EAST.ACME.COM . Vous devez permuter les noms de secteur afin d'obtenir les définitions appropriées dans le secteur SALES.WEST.ACME.COM.


    # cat /etc/krb5/krb5.conf
[libdefaults] 
.
.
[capaths]
    ENG.EAST.ACME.COM = {
        SALES.WEST.ACME.COM = .
    }

    SALES.WEST.ACME.COM = {
         ENG.EAST.ACME.COM = .
    }

  5. Copiez le fichier de configuration Kerberos sur tous les clients dans le secteur courant.

    Pour que l'authentification intersecteur fonctionne, la nouvelle version du fichier de configuration Kerberos (krb5.conf) doit être installée sur tous les systèmes (y compris les KDC esclaves et les autres serveurs).

  6. Répétez ces étapes pour le deuxième secteur.