Manuale di Sun Enterprise Authentication Mechanism

Configurare un client SEAM

In questa procedura vengono usati i seguenti parametri di configurazione:

nome del settore = SPA.IT

nome del dominio DNS = spa.it

KDC master = kdc1.spa.it

KDC slave = kdc2.spa.it

client = client.spa.it

nome principale di amministrazione = kws/admin

nome principale dell'utente = mre

URL della guida in linea = http://milano:8888/ab2/coll.384.1/SEAM/@AB2PageView/6956

Nota -

Adattare l'URL in modo che punti alla sezione "Amministrazione SEAM", come descritto in Note sul prodotto e sull'installazione di SEAM.

Prerequisiti per la configurazione di un client SEAM.

Deve essere installato il software client SEAM.

Aprire con un editor il file di configurazione di Kerberos (krb5.conf).

Se è stata usata la procedura di preconfigurazione, sarà sufficiente verificare il contenuto del file. Per modificare il file rispetto alla versione predefinita di SEAM, sarà necessario cambiare i nomi dei settori e i nomi dei server, e specificare il percorso dei file della guida per gkadmin.

kdc1 # cat /etc/krb5/krb5.conf
[libdefaults]
        default_realm = SPA.IT
 
[realms]
                SPA.IT = {
                kdc = kdc1.spa.it
                kdc = kdc2.spa.it
                admin_server = kdc1.spa.it
        }
 
[domain_realm]
        .spa.it = SPA.IT
#
# if the domain name and realm name are equivalent, 
# this entry is not needed
#
[logging]
        default = FILE:/var/krb5/kdc.log
        kdc = FILE:/var/krb5/kdc.log
 
[appdefaults]
    gkadmin = {
        help_url = http://milano:8888/ab2/coll.384.1/SEAM/@AB2PageView/6956

Opzionale: Sincronizzare l'ora con l'orologio del KDC master usando NTP o un altro meccanismo di sincronizzazione.

Per informazioni su NTP, vedere "Sincronizzazione degli orologi tra i KDC e i client SEAM".

Opzionale: Creare un nome principale per l'utente.

Questa operazione è necessaria solo se all'utente associato all'host corrente non è stato ancora assegnato un nome principale. Per istruzioni sull'uso dello strumento Amministrazione SEAM, vedere "Creare un nuovo nome principale". Qui di seguito è mostrato un esempio dalla riga di comando.

client1 # /usr/krb5/sbin/kadmin -p kws/admin
Inserire la password: <Inserire la password per kws/admin>
kadmin: addprinc mre
Inserire la password per il nome principale mre@SPA.IT: <Inserire la password>
Reinserire la password per il nome principale mre@SPA.IT: <Reinserire la password>
kadmin:

Creare un nome principale per root.

kadmin: addprinc root/client1.spa.it
Inserire la password per il nome principale root/client1.spa.it@SPA.IT: <Inserire la password>
Reinserire la password per il nome principale root/client1.spa.it@SPA.IT: <Reinserire la password >
kadmin: quit

(Opzionale) Per fare in modo che gli utenti del client SEAM possano attivare automaticamente i file system NFS basati su Kerberos usando l'autenticazione Kerberos, sarà necessario autenticare l'utente root.

Il modo più sicuro per eseguire questo processo è con l'uso del comando kinit; tuttavia, gli utenti dovranno usare kinit come root ogni volta che dovranno attivare un file system protetto con Kerberos. In alternativa, si può scegliere di usare una tabella di chiavi. Per informazioni dettagliate sui requisiti delle tabella di chiavi, vedere "Impostazione dell'autenticazione root per l'attivazione dei file system NFS".

client1 # /usr/krb5/bin/kinit root/client1.spa.it
Password per root/client1.spa.it@SPA.IT: <Inserire la password>

Per usare la tabella di chiavi, aggiungere il nome principale di root alla tabella di chiavi del client usando kadmin:

client1 # /usr/krb5/sbin/kadmin -p kws/admin
Inserire la password: <Inserire la password per kws/admin>
kadmin: ktadd root/client1.spa.it
kadmin: Voce per nome principale root/client.spa.it con
  kvno 3, tipo di cifratura DES-CBC-CRC aggiunta alla 
  tabella di chiavi
  WRFILE:/etc/krb5/krb5.keytab
kadmin: quit

Se si desidera che il client avverta gli utenti sulla scadenza dei ticket di Kerberos, creare una voce nel file /etc/krb5/warn.conf.

Per maggiori informazioni, vedere warn.conf(4).

Aggiornare il percorso di ricerca della shell dell'utente includendovi la posizione dei comandi e delle pagine man di SEAM.

Se il software SEAM è stato installato usando i file di configurazione, ed è stata selezionata l'opzione per aggiornare automaticamente la definizione di PATH, sarà sufficiente modificare la variabile MANPATH. Se si utilizza la C shell, digitare:
% set path=(/usr/krb5/bin $path) % set MANPATH=(/usr/krb5/man $MANPATH)
Per applicare queste modifiche in modo permanente al percorso di ricerca della shell, modificare il proprio file .cshrc o .login.

Se si utilizza la Bourne shell o la Korn shell, digitare:
$ PATH=/usr/krb5/bin:$PATH $ MANPATH=/usr/krb5/man:$MANPATH
Per applicare queste modifiche in modo permanente al percorso di ricerca della shell, modificare il proprio file .profile.