Manuale di Sun Enterprise Authentication Mechanism

Configurazione dei client SEAM

Un client SEAM può essere qualunque host, non un server KDC, della rete in cui devono essere utilizzati i servizi SEAM. Questa sezione descrive la procedura da seguire per installare un client SEAM, e contiene informazioni specifiche sull'uso dell'autenticazione di root per attivare i file system NFS.

Configurare un client SEAM

In questa procedura vengono usati i seguenti parametri di configurazione:

nome del settore = SPA.IT

nome del dominio DNS = spa.it

KDC master = kdc1.spa.it

KDC slave = kdc2.spa.it

client = client.spa.it

nome principale di amministrazione = kws/admin

nome principale dell'utente = mre

URL della guida in linea = http://milano:8888/ab2/coll.384.1/SEAM/@AB2PageView/6956

Nota -

Adattare l'URL in modo che punti alla sezione "Amministrazione SEAM", come descritto in Note sul prodotto e sull'installazione di SEAM.

Prerequisiti per la configurazione di un client SEAM.

Deve essere installato il software client SEAM.

Aprire con un editor il file di configurazione di Kerberos (krb5.conf).

Se è stata usata la procedura di preconfigurazione, sarà sufficiente verificare il contenuto del file. Per modificare il file rispetto alla versione predefinita di SEAM, sarà necessario cambiare i nomi dei settori e i nomi dei server, e specificare il percorso dei file della guida per gkadmin.

kdc1 # cat /etc/krb5/krb5.conf
[libdefaults]
        default_realm = SPA.IT
 
[realms]
                SPA.IT = {
                kdc = kdc1.spa.it
                kdc = kdc2.spa.it
                admin_server = kdc1.spa.it
        }
 
[domain_realm]
        .spa.it = SPA.IT
#
# if the domain name and realm name are equivalent, 
# this entry is not needed
#
[logging]
        default = FILE:/var/krb5/kdc.log
        kdc = FILE:/var/krb5/kdc.log
 
[appdefaults]
    gkadmin = {
        help_url = http://milano:8888/ab2/coll.384.1/SEAM/@AB2PageView/6956

Opzionale: Sincronizzare l'ora con l'orologio del KDC master usando NTP o un altro meccanismo di sincronizzazione.

Per informazioni su NTP, vedere "Sincronizzazione degli orologi tra i KDC e i client SEAM".

Opzionale: Creare un nome principale per l'utente.

Questa operazione è necessaria solo se all'utente associato all'host corrente non è stato ancora assegnato un nome principale. Per istruzioni sull'uso dello strumento Amministrazione SEAM, vedere "Creare un nuovo nome principale". Qui di seguito è mostrato un esempio dalla riga di comando.

client1 # /usr/krb5/sbin/kadmin -p kws/admin
Inserire la password: <Inserire la password per kws/admin>
kadmin: addprinc mre
Inserire la password per il nome principale mre@SPA.IT: <Inserire la password>
Reinserire la password per il nome principale mre@SPA.IT: <Reinserire la password>
kadmin:

Creare un nome principale per root.

kadmin: addprinc root/client1.spa.it
Inserire la password per il nome principale root/client1.spa.it@SPA.IT: <Inserire la password>
Reinserire la password per il nome principale root/client1.spa.it@SPA.IT: <Reinserire la password >
kadmin: quit

(Opzionale) Per fare in modo che gli utenti del client SEAM possano attivare automaticamente i file system NFS basati su Kerberos usando l'autenticazione Kerberos, sarà necessario autenticare l'utente root.

Il modo più sicuro per eseguire questo processo è con l'uso del comando kinit; tuttavia, gli utenti dovranno usare kinit come root ogni volta che dovranno attivare un file system protetto con Kerberos. In alternativa, si può scegliere di usare una tabella di chiavi. Per informazioni dettagliate sui requisiti delle tabella di chiavi, vedere "Impostazione dell'autenticazione root per l'attivazione dei file system NFS".

client1 # /usr/krb5/bin/kinit root/client1.spa.it
Password per root/client1.spa.it@SPA.IT: <Inserire la password>

Per usare la tabella di chiavi, aggiungere il nome principale di root alla tabella di chiavi del client usando kadmin:

client1 # /usr/krb5/sbin/kadmin -p kws/admin
Inserire la password: <Inserire la password per kws/admin>
kadmin: ktadd root/client1.spa.it
kadmin: Voce per nome principale root/client.spa.it con
  kvno 3, tipo di cifratura DES-CBC-CRC aggiunta alla 
  tabella di chiavi
  WRFILE:/etc/krb5/krb5.keytab
kadmin: quit

Se si desidera che il client avverta gli utenti sulla scadenza dei ticket di Kerberos, creare una voce nel file /etc/krb5/warn.conf.

Per maggiori informazioni, vedere warn.conf(4).

Aggiornare il percorso di ricerca della shell dell'utente includendovi la posizione dei comandi e delle pagine man di SEAM.

Se il software SEAM è stato installato usando i file di configurazione, ed è stata selezionata l'opzione per aggiornare automaticamente la definizione di PATH, sarà sufficiente modificare la variabile MANPATH. Se si utilizza la C shell, digitare:
% set path=(/usr/krb5/bin $path) % set MANPATH=(/usr/krb5/man $MANPATH)
Per applicare queste modifiche in modo permanente al percorso di ricerca della shell, modificare il proprio file .cshrc o .login.

Se si utilizza la Bourne shell o la Korn shell, digitare:
$ PATH=/usr/krb5/bin:$PATH $ MANPATH=/usr/krb5/man:$MANPATH
Per applicare queste modifiche in modo permanente al percorso di ricerca della shell, modificare il proprio file .profile.

Impostazione dell'autenticazione root per l'attivazione dei file system NFS

Per accedere a un file system NFS non basato su Kerberos, gli utenti potranno attivare il file system come root, oppure accedere automaticamente al file system usando l'automounter (senza bisogno delle autorizzazioni di root).

L'attivazione di un file system NFS basato su Kerberos avviene sostanzialmente nello stesso modo, ma comporta un ostacolo in più. Per attivare un file system NFS basato su Kerberos, infatti, gli utenti devono usare il comando kinit come root per ottenere le credenziali per il nome principale root del client, poiché tale nome principale non si trova generalmente nella tabella di chiavi del client. Questo vale anche se si utilizza l'automounter. Non solo questo è un passaggio aggiuntivo, ma costringe anche gli utenti a conoscere la password di root del loro sistema e la password del nome principale root.

Per evitare questo passaggio, è possibile aggiungere il nome principale root del client alla tabella di chiavi del client, che fornirà automaticamente le credenziali per root. Questo permette agli utenti di attivare i file system NFS senza bisogno di eseguire il comando kinit e rende più semplice l'uso del sistema, ma rappresenta un rischio per la sicurezza. Ad esempio, se un utente ottiene l'accesso a un sistema che contiene il nome principale root nella sua tabella di chiavi, quell'utente ha la possibilità di ottenere le credenziali di root. Questo significa che occorrerà adottare le misure di sicurezza appropriate. Per maggiori informazioni, vedere "Amministrazione delle tabelle di chiavi".