test

Manuale di Sun Enterprise Authentication Mechanism

Stabilire un'autenticazione diretta tra settori

In questo esempio vengono usati due settori: EURO.NORD.SPA.IT e VENDITE.SUD.SPA.IT. L'autenticazione tra i settori verrà stabilita in entrambe le direzioni. Questa procedura dovrà essere eseguita sul KDC master di entrambi i settori.

  1. Prerequisiti per stabilire un'autenticazione diretta tra i settori.

    Questa procedura richiede che in entrambi i settori sia stato configurato il KDC master. Per provare il processo in modo completo, devono essere installati diversi client o KDC slave.

  2. Diventare superutente su uno dei KDC master.

  3. Creare i nomi principali per il servizio TGT per i due settori usando kadmin.

    È necessario eseguire il login con uno dei nomi principali admin creati durante la configurazione del KDC master.


    # /usr/krb5/sbin/kadmin -p kws/admin
Inserire la password: <Inserire la password per kws/admin>
kadmin: addprinc krbtgt/EURO.NORD.SPA.IT@VENDITE.SUD.SPA.IT
Inserire la password per il nome principale 
  krgtgt/EURO.NORD.SPA.IT@VENDITE.SUD.SPA.IT: <Inserire la password>
kadmin: addprinc krbtgt/VENDITE.SUD.SPA.IT@EURO.NORD.SPA.IT
Inserire la password per il nome principale 
  krgtgt/VENDITE.SUD.SPA.IT@EURO.NORD.SPA.IT: <Inserire la password>
kadmin: quit
    Nota -

    La password inserita per i nomi principali deve essere identica in entrambi i KDC; questo significa che la password per krbtgt/EURO.NORD.SPA.IT@VENDITE.SUD.SPA.IT dovrà essere uguale in entrambi i settori.

  4. Aggiungere al file di configurazione di Kerberos le voci necessarie per definire il percorso diretto fino al settore remoto (kdc.conf).

    Questo esempio si riferisce ai client del settore EURO.NORD.SPA.IT. Cambiando il nome del settore si otterranno le definizioni appropriate per VENDITE.SUD.SPA.IT.


    # cat /etc/krb5/krb5.conf
[libdefaults]
 .
 .
[capaths]
    EURO.NORD.SPA.IT = {
        VENDITE.SUD.SPA.IT = .
    }
 
    VENDITE.SUD.SPA.IT = {
         EURO.NORD.SPA.IT = .
    }

  5. Copiare il file di configurazione di Kerberos su tutti i client del settore corrente.

    Perché l'autenticazione tra settori diversi possa funzionare, su tutti i sistemi (inclusi i KDC slave e gli altri server) deve essere installata la nuova versione del file di configurazione di Kerberos (krb5.conf).

  6. Ripetere queste operazioni per il secondo settore.