test

Manuale di Sun Enterprise Authentication Mechanism

Sincronizzazione degli orologi tra i KDC e i client SEAM

Tutti gli host che partecipano al sistema di autenticazione Kerberos devono avere gli orologi interni sincronizzati entro un arco di tempo massimo specificato (detto scostamento orario), che rappresenta un ulteriore controllo di sicurezza di Kerberos. Il superamento dello scostamento orario tra gli host produce il rifiuto delle richieste dei client.

Lo scostamento orario determina anche per quanto tempo i server di applicazioni debbano registrare i messaggi del protocollo di Kerberos al fine di riconoscere e rifiutare le richieste ripetute. Perciò, quanto più lungo è il valore dello scostamento orario, tanto maggiore sarà il volume di informazioni che i server di applicazioni dovranno raccogliere.

Il valore predefinito per lo scostamento orario massimo è di 300 secondi (cinque minuti), ma è possibile modificarlo nella sezione libdefaults del file krb5.conf.

Nota -

Per ragioni di sicurezza, si consiglia di non aumentare lo scostamento orario a più di 300 secondi.

Poiché è importante mantenere gli orologi sincronizzati tra i KDC e i client SEAM, si consiglia a tale scopo di usare il software Network Time Protocol (NTP). Si tratta di un software di pubblico dominio prodotto dalla University of Delaware incluso in Solaris a partire dalla versione 2.6.

Nota -

Un altro metodo per sincronizzare gli orologi è quello di usare il comando rdate e i lavori cron, che possono rappresentare un processo meno vincolante dell'uso di NTP. In questa sezione, tuttavia, si farà riferimento all'uso di NTP. Si ricordi inoltre che, se si utilizza la rete per sincronizzare gli orologi, il protocollo di sincronizzazione deve essere di per sé sicuro.

NTP permette di gestire in modo preciso la sincronizzazione dell'ora e/o degli orologi di rete in un ambiente di rete. NTP è essenzialmente un'implementazione server/client. Designando un sistema come orologio di riferimento (server NTP), gli orologi di tutti gli altri sistemi (client NTP) verranno sincronizzati con quello di riferimento. La sincronizzazione avviene attraverso il daemon xntpd, che definisce e mantiene un'ora di sistema UNIX in conformità con i server standard di Internet. La Figura 3-1, mostra un esempio dell'uso dell'implementazione server/client NTP.

Figura 3-1 Sincronizzazione degli orologi con NTP

Graphic

Per garantire che i KDC e i client SEAM abbiano gli orologi sincronizzati, procedere come segue:

  1. Configurare un server NTP nella rete (è possibile scegliere qualunque sistema ad eccezione del KDC master). Vedere "Configurare un server NTP".

  2. Durante la configurazione dei KDC e dei client SEAM nella rete, configurarli come client NTP del server NTP. Vedere "Configurare un client NTP".

Configurare un server NTP

  1. Diventare superutente sul sistema da configurare come server NTP.

  2. Spostarsi nella directory /etc/inet.

  3. Copiare il file ntp.server nel file ntp.conf.


    # cp ntp.server ntp.conf

  4. Spostarsi nella directory /etc/init.d.

  5. Avviare il daemon xntpd.


    # ./xntpd start

Configurare un client NTP

  1. Diventare superutente sul sistema da configurare come client NTP.

  2. Spostarsi nella directory /etc/inet.

  3. Copiare il file ntp.client nel file ntp.conf.


    # cp ntp.client ntp.conf

  4. Spostarsi nella directory /etc/init.d.

  5. Avviare il daemon xntpd.


    # ./xntpd start