test

Manuale di Sun Enterprise Authentication Mechanism

Stabilire un'autenticazione gerarchica tra settori

In questo esempio verranno usati due settori, EURO.NORD.SPA.IT e NORD.SPA.IT. L'autenticazione tra i settori verrà stabilita in entrambe le direzioni. Questa procedura dovrà essere eseguita sul KDC master di entrambi i settori.

  1. Prerequisiti per stabilire un'autenticazione gerarchica tra i settori.

    Questa procedura richiede che in entrambi i settori sia stato configurato il KDC master. Per provare il processo in modo completo, devono essere installati diversi client o KDC slave.

  2. Diventare root sul primo KDC master.

  3. Creare i nomi principali per il servizio TGT per i due settori usando kadmin.

    È necessario eseguire il login con uno dei nomi principali admin creati durante la configurazione del KDC master.


    # /usr/krb5/sbin/kadmin -p kws/admin
Inserire la password: <Inserire la password per kws/admin>
kadmin: addprinc krbtgt/EURO.NORD.SPA.IT@NORD.SPA.IT
Inserire la password per il nome principale krgtgt/EURO.NORD.SPA.IT@NORD.SPA.IT: 
<Inserire la password>
kadmin: addprinc krbtgt/NORD.SPA.IT@EURO.NORD.SPA.IT
Inserire la password per il nome principale krgtgt/NORD.SPA.IT@EURO.NORD.SPA.IT: 
<Inserire la password>
kadmin: quit
    Nota -

    La password inserita per i nomi principali deve essere identica in entrambi i KDC; questo significa che la password per krbtgt/EURO.NORD.SPA.IT@NORD.SPA.IT dovrà essere uguale in entrambi i settori.

  4. Aggiungere al file di configurazione di Kerberos (krb5.conf) le voci necessarie per definire i nomi di dominio per ogni settore.


    # cat /etc/krb5/krb5.conf
[libdefaults]
 .
 .
[domain_realm]
        .euro.nord.spa.it = EURO.NORD.SPA.IT
        .nord.spa.it = NORD.SPA.IT

    In questo esempio vengono definiti i nomi di dominio per i settori EURO.NORD.SPA.IT e NORD.SPA.IT. È importante inserire prima il sottodominio, poiché la ricerca nel file viene eseguita dall'alto in basso.

  5. Copiare il file di configurazione di Kerberos su tutti i client del settore corrente.

    Perché l'autenticazione tra settori possa funzionare, su tutti i sistemi (inclusi i KDC slave e gli altri server) deve essere installata la nuova versione del file di configurazione di Kerberos (/etc/krb5/krb5.conf) .

  6. Ripetere queste operazioni nel secondo settore.