Decisioni sulla configurazione di SEAM

Prima di installare SEAM, è necessario risolvere alcuni problemi di configurazione. Pur essendo possibile modificare la configurazione dopo l'installazione iniziale, queste modifiche diventano sempre più difficili a mano a mano che si aggiungono nuovi client. Inoltre, alcune modifiche richiedono una reinstallazione completa, perciò è preferibile pianificare l'installazione ponendosi obiettivi a lungo termine.

Settori

Un settore è una rete logica, come un dominio, che definisce un gruppo di sistemi residenti sotto lo stesso KDC master. Come per la scelta del nome di un dominio DNS, prima di installare SEAM occorre decidere il nome del settore, il numero e la dimensione di ogni settore e i rapporti reciproci tra i diversi settori.

Nomi dei settori

I nomi dei settori possono essere rappresentati da qualunque stringa ASCII. Normalmente, il nome di un settore corrisponde al nome del dominio DNS, ma in lettere maiuscole. Questo permette, pur usando uno stesso nome, di distinguere i problemi legati a SEAM dai problemi degli spazi di denominazione DNS. Se non si utilizza il servizio DNS o si sceglie di usare una stringa differente, è possibile usare qualunque stringa, anche se è consigliabile seguire la struttura di denominazione standard di Internet.

Numero dei settori

Il numero dei settori richiesti per l'installazione dipende da diversi fattori:

• Il numero dei client da supportare. Troppi client in uno stesso settore possono rendere l'amministrazione più difficile e richiedere una successiva divisione del settore. I fattori primari che determinano il numero dei client che è possibile supportare sono: il volume di traffico SEAM generato da ogni client, l'ampiezza di banda della rete fisica e la velocità degli host. Poiché ogni sito ha limitazioni differenti, non vi è una regola generale per determinare il numero massimo di client.

• La distanza tra i client. Se i client risiedono in aree geografiche differenti, può essere comodo configurare più settori di piccole dimensioni.

• Il numero degli host disponibili per essere installati come KDC. Ogni settore dovrebbe comprendere almeno due server per il KDC (master e slave).

Gerarchia tra i settori

Quando si configurano più settori, occorre decidere come metterli in relazione. Ad esempio, è possibile stabilire una relazione gerarchica tra i settori che preveda percorsi di collegamento automatici ai domini correlati, ma questo richiede che tutti i settori della catena gerarchica siano configurati correttamente. I percorsi automatici possono alleggerire il carico di amministrazione; tuttavia, se vi sono molti livelli di domini, può essere scomodo usare il percorso predefinito poiché richiede troppe transazioni.

È anche possibile scegliere di stabilire il collegamento direttamente. Un collegamento diretto è particolarmente utile quando vi sono troppi livelli tra due domini gerarchici o quando non esiste una relazione gerarchica. Il collegamento deve essere definito in /etc/krb5/krb5.conf su tutti gli host che lo utilizzano, perciò è richiesta una procedura aggiuntiva. Vedere "Settori" per un'introduzione ai settori, e "Configurazione dell'autenticazione tra settori" per le procedure da seguire per la configurazione di più settori.

Mappatura dei nomi host in settori

La mappatura dei nomi host in nomi di settori è definita nella sezione domain_realm del file krb5.conf. Queste mappature possono essere definite per un intero dominio o per singoli host, a seconda delle esigenze. Per maggiori informazioni, vedere la pagina man krb5.conf(4).

Nomi principali di client e servizi

Quando si utilizza SEAM, è preferibile che i servizi DNS siano già configurati e in esecuzione su tutti gli host. Se si utilizza DNS, esso deve essere abilitato su tutti i sistemi o su nessuno. Se DNS è disponibile, il nome principale dovrebbe contenere il nome di dominio pienamente qualificato (FQDN) di ogni host. Ad esempio, se il nome host è torino, il nome del dominio DNS è spa.it e il nome del settore è SPA.IT, il nome principale per l'host dovrà essere host/torino.spa.it@SPA.IT. Gli esempi riportati in questo manuale usano l'FQDN per tutti gli host.

Per i nomi principali che includono l'FQDN di un host, è importante che la stringa che descrive il dominio DNS trovi corrispondenza in /etc/resolv.conf. Questa stringa fa distinzione tra maiuscole e minuscole. SEAM richiede che il nome del dominio DNS sia scritto a lettere minuscole, perciò nell'inserire l'FQDN per un nome principale vengono usate solo lettere minuscole.

SEAM può essere utilizzato senza i servizi DNS, ma in questo caso alcune funzionalità chiave, tra cui la possibilità di comunicare con altri settori, non sono disponibili. Se il DNS non è configurato, è possibile usare come istanza un semplice nome host. In questo caso, il nome principale sarà host/torino@SPA.IT. Se il DNS viene abilitato successivamente, tutti i nomi principali degli host devono essere eliminati e sostituiti nel database del KDC.

Porte per i servizi KDC e di amministrazione

Nella configurazione predefinita, la porta 88 e la porta 750 vengono usate per il KDC mentre la porta 749 viene usata per il daemon di amministrazione del KDC. È possibile usare numeri di porta differenti, ma per cambiarli sarà necessario modificare i file /etc/services e /etc/krb5/krb5.conf su tutti i client. Occorrerà inoltre aggiornare il file /etc/krb5/kdc.conf su ogni KDC.

KDC slave

I KDC slave generano credenziali per i client esattamente come il KDC master e fungono da backup nel caso in cui il master non sia disponibile. Ogni settore dovrebbe avere almeno un KDC slave. La necessità di utilizzare altri KDC slave dipende dai seguenti fattori:

• Il numero dei segmenti fisici del settore. Normalmente, la rete dovrebbe essere configurata in modo che ogni segmento possa funzionare, almeno in modo minimo, senza il resto del settore. A questo scopo, è necessario che ogni segmento possa accedere a un KDC. In questo caso, il KDC può essere master o slave.

• Il numero di client del settore. L'aggiunta di un maggior numero di KDC slave può ridurre il carico dei server correnti.

È possibile che vengano aggiunti troppi KDC slave. Si ricordi che, poiché il database del KDC deve essere propagato a tutti i server, aumentando i server KDC installati, aumenterà anche il tempo necessario per aggiornare i dati nell'intero settore. Inoltre, poiché ogni slave mantiene una copia del database del KDC, un maggior numero di slave aumenta i rischi per la sicurezza.

Può essere utile configurare uno o più KDC slave in modo che possano essere scambiati facilmente con il KDC master. Seguendo questa procedura su almeno uno dei KDC si ottiene che, se il KDC master dovesse interrompersi per qualunque ragione, si avrà un sistema preconfigurato facilmente utilizzabile al posto del master. Per istruzioni su come configurare un KDC slave intercambiabile, vedere "Sostituzione di un KDC master con uno slave".

Propagazione dei database

Il database memorizzato sul KDC master deve essere regolarmente propagato ai KDC slave. Uno dei primi problemi da risolvere è quanto frequentemente si debbano aggiornare i KDC slave. Occorre trovare un compromesso tra il vantaggio di avere informazioni aggiornate su tutti i client e il tempo necessario per completare l'aggiornamento. Per maggiori informazioni sulla propagazione dei database, vedere "Amministrazione del database di Kerberos".

Nelle installazioni di grandi dimensioni, con molti KDC in uno stesso settore, è possibile impostare la propagazione dei dati da uno o più degli slave in modo che il processo si svolga in parallelo. Questo riduce il tempo necessario per l'aggiornamento, ma aumenta anche il grado di complessità dell'amministrazione del settore.

Sincronizzazione degli orologi

Tutti gli host che partecipano al sistema di autenticazione Kerberos devono avere gli orologi interni sincronizzati entro un arco di tempo massimo prestabilito (detto scostamento orario), che costituisce un altro controllo di sicurezza di Kerberos. Il superamento dello scostamento orario tra gli host partecipanti determina il rifiuto delle richieste.

Un modo per sincronizzare tutti gli orologi è quello di usare il software Network Time Protocol (NTP) (per maggiori informazioni, vedere "Sincronizzazione degli orologi tra i KDC e i client SEAM"). Sono disponibili altri modi per sincronizzare gli orologi, perciò l'uso di NTP non è necessario. È consigliabile comunque usare qualche forma di sincronizzazione per evitare problemi di accesso dovuti allo scostamento orario.

Procedura di preconfigurazione di SEAM

SEAM include una procedura di preconfigurazione che memorizza le informazioni su un server NFS. Tali informazioni possono quindi essere usate dallo script di installazione del software. L'uso di questa procedura è facoltativo ma fortemente consigliato, poiché permette di risparmiare tempo durante il processo di installazione e consente di ridurre gli errori dovuti all'inserimento manuale dei dati.