test

Manuale di Sun Enterprise Authentication Mechanism

Configurazione dell'autenticazione tra settori

Sono disponibili diversi modi per collegare i settori in modo che gli utenti di un settore possano essere autenticati in un altro. Normalmente questo si ottiene stabilendo una chiave segreta da condividere tra due settori. Il rapporto tra i settori può essere gerarchico o direzionale (vedere"Gerarchia tra i settori").

Stabilire un'autenticazione gerarchica tra settori

In questo esempio verranno usati due settori, EURO.NORD.SPA.IT e NORD.SPA.IT. L'autenticazione tra i settori verrà stabilita in entrambe le direzioni. Questa procedura dovrà essere eseguita sul KDC master di entrambi i settori.

  1. Prerequisiti per stabilire un'autenticazione gerarchica tra i settori.

    Questa procedura richiede che in entrambi i settori sia stato configurato il KDC master. Per provare il processo in modo completo, devono essere installati diversi client o KDC slave.

  2. Diventare root sul primo KDC master.

  3. Creare i nomi principali per il servizio TGT per i due settori usando kadmin.

    È necessario eseguire il login con uno dei nomi principali admin creati durante la configurazione del KDC master.


    # /usr/krb5/sbin/kadmin -p kws/admin
Inserire la password: <Inserire la password per kws/admin>
kadmin: addprinc krbtgt/EURO.NORD.SPA.IT@NORD.SPA.IT
Inserire la password per il nome principale krgtgt/EURO.NORD.SPA.IT@NORD.SPA.IT: 
<Inserire la password>
kadmin: addprinc krbtgt/NORD.SPA.IT@EURO.NORD.SPA.IT
Inserire la password per il nome principale krgtgt/NORD.SPA.IT@EURO.NORD.SPA.IT: 
<Inserire la password>
kadmin: quit
    Nota -

    La password inserita per i nomi principali deve essere identica in entrambi i KDC; questo significa che la password per krbtgt/EURO.NORD.SPA.IT@NORD.SPA.IT dovrà essere uguale in entrambi i settori.

  4. Aggiungere al file di configurazione di Kerberos (krb5.conf) le voci necessarie per definire i nomi di dominio per ogni settore.


    # cat /etc/krb5/krb5.conf
[libdefaults]
 .
 .
[domain_realm]
        .euro.nord.spa.it = EURO.NORD.SPA.IT
        .nord.spa.it = NORD.SPA.IT

    In questo esempio vengono definiti i nomi di dominio per i settori EURO.NORD.SPA.IT e NORD.SPA.IT. È importante inserire prima il sottodominio, poiché la ricerca nel file viene eseguita dall'alto in basso.

  5. Copiare il file di configurazione di Kerberos su tutti i client del settore corrente.

    Perché l'autenticazione tra settori possa funzionare, su tutti i sistemi (inclusi i KDC slave e gli altri server) deve essere installata la nuova versione del file di configurazione di Kerberos (/etc/krb5/krb5.conf) .

  6. Ripetere queste operazioni nel secondo settore.

Stabilire un'autenticazione diretta tra settori

In questo esempio vengono usati due settori: EURO.NORD.SPA.IT e VENDITE.SUD.SPA.IT. L'autenticazione tra i settori verrà stabilita in entrambe le direzioni. Questa procedura dovrà essere eseguita sul KDC master di entrambi i settori.

  1. Prerequisiti per stabilire un'autenticazione diretta tra i settori.

    Questa procedura richiede che in entrambi i settori sia stato configurato il KDC master. Per provare il processo in modo completo, devono essere installati diversi client o KDC slave.

  2. Diventare superutente su uno dei KDC master.

  3. Creare i nomi principali per il servizio TGT per i due settori usando kadmin.

    È necessario eseguire il login con uno dei nomi principali admin creati durante la configurazione del KDC master.


    # /usr/krb5/sbin/kadmin -p kws/admin
Inserire la password: <Inserire la password per kws/admin>
kadmin: addprinc krbtgt/EURO.NORD.SPA.IT@VENDITE.SUD.SPA.IT
Inserire la password per il nome principale 
  krgtgt/EURO.NORD.SPA.IT@VENDITE.SUD.SPA.IT: <Inserire la password>
kadmin: addprinc krbtgt/VENDITE.SUD.SPA.IT@EURO.NORD.SPA.IT
Inserire la password per il nome principale 
  krgtgt/VENDITE.SUD.SPA.IT@EURO.NORD.SPA.IT: <Inserire la password>
kadmin: quit
    Nota -

    La password inserita per i nomi principali deve essere identica in entrambi i KDC; questo significa che la password per krbtgt/EURO.NORD.SPA.IT@VENDITE.SUD.SPA.IT dovrà essere uguale in entrambi i settori.

  4. Aggiungere al file di configurazione di Kerberos le voci necessarie per definire il percorso diretto fino al settore remoto (kdc.conf).

    Questo esempio si riferisce ai client del settore EURO.NORD.SPA.IT. Cambiando il nome del settore si otterranno le definizioni appropriate per VENDITE.SUD.SPA.IT.


    # cat /etc/krb5/krb5.conf
[libdefaults]
 .
 .
[capaths]
    EURO.NORD.SPA.IT = {
        VENDITE.SUD.SPA.IT = .
    }
 
    VENDITE.SUD.SPA.IT = {
         EURO.NORD.SPA.IT = .
    }

  5. Copiare il file di configurazione di Kerberos su tutti i client del settore corrente.

    Perché l'autenticazione tra settori diversi possa funzionare, su tutti i sistemi (inclusi i KDC slave e gli altri server) deve essere installata la nuova versione del file di configurazione di Kerberos (krb5.conf).

  6. Ripetere queste operazioni per il secondo settore.