test

Handbok för Sun Enterprise Authentication Mechanism

Konfigurera SEAM-klienter

Med SEAM-klienter menas alla värddatorer i nätverket, förutom KDC-servern, som behöver använda SEAM-tjänster. I det här avsnittet anges en procedur för att installera en SEAM-klient såväl som detaljerad information om hur man använder root-verifiering för att montera NFS-filsystemet.

Så här konfigurerar du en SEAM-klient

Följande konfigureringsparametrar används:

  1. Förutsättningar för konfigurering av en SEAM-klient.

    Klientprogramvaran för SEAM måste vara installerad.

  2. Redigera konfigurationsfilen för Kerberos(krb5.conf).

    Om du använde förkonfigureringsproceduren behöver du inte redigera den här filen, men du bör kontrollera innehållet. Du kan ändra filen från standardversionen för SEAM genom att byta namn på användarkategorier servrar samt ange sökvägen till hjälpfilerna för gkadmin. 


    kdc1 # cat /etc/krb5/krb5.conf
[libdefaults]
        default_realm = ACME.COM

[realms]
                ACME.COM = {
                kdc = kdc1.acme.com
                kdc = kdc2.acme.com
                admin_server = kdc1.acme.com
        }

[domain_realm]
        .acme.com = ACME.COM
#
# om domänen och användarkategorin har samma namn, 
# behövs inte den här posten
#
[logging]
        default = FILE:/var/krb5/kdc.log
        kdc = FILE:/var/krb5/kdc.log

[appdefaults]
    gkadmin = {
        help_url = http://denver:8888/ab2/coll.384.1/SEAM/@AB2PageView/6956

  3. Valfritt: Synkronisera med huvud-KDC:ns klocka med hjälp av NTP eller annan klocksynkroniseringsmekanism.

    Mer information om NTP finns i "Synkronisera klockor mellan KDC:er och SEAM-klienter"

  4. Valfritt: Skapa en användarprincipal om det inte redan finns en.

    Du behöver bara skapa en användarprincipal om den användare som hör till värden inte redan har en tilldelad principal. Instruktioner för användning av Administrationsverktyget för SEAM finns i "Så här skapar du en ny principal". Nedan visas ett kommandoradsexempel.


    client1 # /usr/krb5/sbin/kadmin -p kws/admin
Ange lösenord: <Skriv lösenord för kws/admin>
kadmin: addprinc mre
Ange lösenord för principalen mre@ACME.COM: <skriv lösenordet>
Ange lösenord för principalen mre@ACME.COM på nytt: <skriv det igen>
kadmin:

  5. Skapa en root-principal.


    kadmin: addprinc root/client1.acme.com
Ange lösenord för principalen root/client1.acme.com@ACME.COM: <skriv lösenordet>
Ange lösenord för principalen root/client1.acme.com@ACME.COM på nytt: <skriv det igen>
kadmin: avsluta

  6. (Valfritt) Om du vill att en användare på SEAM-klienten automatiskt ska kunna montera Kerberos-anpassade NFS-filsystem med användning av Kerberos-verifiering, måste du verifiera root-användaren.

    Detta görs säkrast genom att använda kommandot kinit. Detta innebär dock att användare också måste använda kinit som root varje gång de behöver montera ett filsystem som använder Kerberos. Du kan välja att använda en keytab-fil istället. Detaljerad information om vad som behövs för keytab-alternativet finns i "Ställa in root-verifiering för montering av NFS-filsystem". 


    client1 # /usr/krb5/bin/kinit root/client1.acme.com
Ange lösenord för principalen root/client1.acme.com@ACME.COM: <Ange lösenord>

    Om du vill använda keytab-alternativet lägger du till root-principalen i klientens keytab-fil med kadmin:


    client1 # /usr/krb5/sbin/kadmin -p kws/admin
Ange lösenord: <Skriv lösenord för kws/admin>
kadmin: ktadd root/client1.acme.com
kadmin: En post för principalen root/client.acme.com med
  kvno 3, krypteringstyp DES-CBC-CRC har lagts till i keytab-filen
  WRFILE:/etc/krb5/krb5.keytab
kadmin: avsluta

  7. Om du vill att klienten ska varna användare innan Kerberos-biljetter upphör att gälla skapar du en post i filen /etc/krb5/warn.conf.

    Mer information finns i warn.conf(4).

  8. Uppdatera användarens skalsökväg till att innehålla platsen för kommandon och direkthjälp för SEAM.

    Om du installerade SEAM-programvaran med hjälp av konfigurationsfilerna och valde automatisk uppdatering av PATH -definitionen, behöver du bara ändra variabeln MANPATH. Om du använder C-skalet skriver du:


    % set path=(/usr/krb5/bin $path)
% set MANPATH=(/usr/krb5/man $MANPATH)

    Om du vill införa dessa ändringar permanent i skalsökvägen redigerar du startfilen .cshrc eller .login.

    Om du använder Bourne-skalet eller Korn-skalet skriver du:


    $ PATH=/usr/krb5/bin:$PATH
$ MANPATH=/usr/krb5/man:$MANPATH

    Om du vill införa dessa ändringar permanent i skalsökvägen redigerar du startfilen .profile.

Ställa in root-verifiering för montering av NFS-filsystem

Om användare vill ha åtkomst till ett icke Kerberos-anpassat NFS-filsystem kan antingen NFS-filsystemet monteras som root eller så kan filsystemet kommas åt automatiskt med hjälp av funktionen för automatisk montering så fort det behövs (utan att kräva root-behörighet).

Att montera ett Kerberos-anpassat NFS-filsystem är i stort sett samma sak, så när som på ett hinder. Vid montering av ett Kerberos-anpassat NFS-filsystem måste en användare använda kommandot kinit som root för att erhålla referenser för klientens root-principal eftersom root-principalen för en klient inte brukar finnas i klientens keytab-fil. Detta gäller även om funktionen för automatisk montering har installerats. Detta utgör inte bara ett extra steg utan det innebär också att användare måste känna till systemets root-lösenord och lösenordet för root-principalen.

Du kan komma runt detta genom att lägga till klientens root-principal i klientens keytab-fil varifrån sedan referenser automatiskt erhålls för root. Även om detta gör att användare kan montera NFS-filsystem utan att köra kommandot kinit vilket ger ökad användarvänlighet, innebär det en säkerhetsrisk. Om till exempel någon får tillgång till ett system som har root-principalen i keytab-filen kan denna person också komma åt referenserna för root. Se alltså till att vidta nödvändiga försiktighetsåtgärder. Mer information finns i "Administrera nyckeltabeller".