test

Handbok för Sun Enterprise Authentication Mechanism

Synkronisera klockor mellan KDC:er och SEAM-klienter

Alla värdar som ingår i Kerberos verifieringssystem måste ha internklockorna synkroniserade inom ett angivet maximalt tidsintervall (som kallas tidsförskjutning) vilket utgör ytterligare en säkerhetskontroll för Kerberos. Om tidsförskjutningen överskrids mellan två av de ingående värdarna kommer klientförfrågningar att nekas.

Tidsförskjutningen anger också hur länge programservrar måste hålla reda på alla protokollmeddelanden i Kerberos för att kunna känna igen och neka förfrågningar som upprepas. Detta innebär att ju större värdet för tidsförskjutning är, desto mer information måste programservrarna lagra.

Standardvärdet för maximal tidsförskjutning är 300 sekunder (fem minuter), något du kan ändra i avsnittet libdefaults i filen krb5.conf.

Obs!

Av säkerhetsskäl bör du inte öka tidsförskjutningen till mer än 300 sekunder.

Eftersom det är viktigt att hålla klockorna synkroniserade mellan KDC:erna och SEAM-klienterna rekommenderas användning av NTP-programvara (Network Time Protocol) för att åstadkomma detta. Den allmänt tillgängliga NTP-programvaran från University of Delaware finns inkluderad i programvaran för Solaris från och med Solaris version 2.6.

Obs!

Ett annat sätt att synkronisera klockorna är att använda kommandot rdate tillsammans med cron-jobb vilket kan innebära en enklare process än att använda NTP. I det här avsnittet kommer vi hur som helst att fortsätta att fokusera på användning av NTP. Dessutom, om du använder nätverket för att synkronisera klockorna måste även klocksynkroniseringsprotokollet vara säkert.

Med NTP kan du upprätthålla exakt tid och/eller hålla nätverksklockor synkroniserade i en nätverksmiljö. NTP är i grunden ett klient/server-program. Du utser ett system till att vara huvudklocka (NTP-server) och sedan ställer du in alla andra system så att de synkroniserar sina klockor mot huvudklockan (NTP-klienter). Allt detta åstadkoms av bakgrundsprogrammet xntpd som ställer in och upprätthåller tiden i ett UNIX-system enligt standardtidsservrar på Internet. I Figur 3-1 visas ett exempel på klient/server-implementering av NTP.

Figur 3-1 Synkronisera klockor med NTP

Graphic

Om du vill vara säker på att KDC:er och SEAM-klienter behåller klockorna synkroniserade utför du följande steg:

  1. Installera en NTP-server i nätverket (det kan vara vilket system som helst utom huvud-KDC:n). Se även "Så här installerar du en NTP-server".

  2. När du konfigurerar KDC:er och SEAM-klienter i nätverket ställer du in dem till att vara NTP-klienter till NTP-servern. Se även "Så här installerar du en NTP-klient".

Så här installerar du en NTP-server

  1. Bli superanvändare på det system som ska bli NTP-server.

  2. Gå till katalogen /etc/inet.

  3. Kopiera filen ntp.server till filen ntp.conf.


    # cp ntp.server ntp.conf

  4. Gå till katalogen /etc/init.d.

  5. Starta bakgrundsprogrammet xntpd.


    # ./xntpd start

Så här installerar du en NTP-klient

  1. Bli superanvändare på det system som ska bli NTP-klient.

  2. Gå till katalogen /etc/inet.

  3. Kopiera filen ntp.client till filen ntp.conf.


    # cp ntp.client ntp.conf

  4. Gå till katalogen /etc/init.d.

  5. Starta bakgrundsprogrammet xntpd.


    # ./xntpd start