Handbok för Sun Enterprise Authentication Mechanism

Så här konfigurerar du en SEAM-klient

Följande konfigureringsparametrar används:

användarkategori = ACME.COM

DNS-domän = acme.com

huvud-KDC = kdc1.acme.com

slav-KDC = kdc2.acme.com

client = client.acme.com

principal för admin = kws/admin

användarprincipal = mre

webbadress för onlinehjälp = http://denver:8888/ab2/coll.384.1/SEAM/@AB2PageView/6956

Obs!

Ändra webbadressen så att den pekar på avsnittet "Administrationsverktyget för SEAM" som det beskrivs i Installations- och tilläggsinformation för SEAM.

Förutsättningar för konfigurering av en SEAM-klient.

Klientprogramvaran för SEAM måste vara installerad.

Redigera konfigurationsfilen för Kerberos(krb5.conf).

Om du använde förkonfigureringsproceduren behöver du inte redigera den här filen, men du bör kontrollera innehållet. Du kan ändra filen från standardversionen för SEAM genom att byta namn på användarkategorier servrar samt ange sökvägen till hjälpfilerna för gkadmin.

kdc1 # cat /etc/krb5/krb5.conf
[libdefaults]
        default_realm = ACME.COM

[realms]
                ACME.COM = {
                kdc = kdc1.acme.com
                kdc = kdc2.acme.com
                admin_server = kdc1.acme.com
        }

[domain_realm]
        .acme.com = ACME.COM
#
# om domänen och användarkategorin har samma namn, 
# behövs inte den här posten
#
[logging]
        default = FILE:/var/krb5/kdc.log
        kdc = FILE:/var/krb5/kdc.log

[appdefaults]
    gkadmin = {
        help_url = http://denver:8888/ab2/coll.384.1/SEAM/@AB2PageView/6956

Valfritt: Synkronisera med huvud-KDC:ns klocka med hjälp av NTP eller annan klocksynkroniseringsmekanism.

Mer information om NTP finns i "Synkronisera klockor mellan KDC:er och SEAM-klienter"

Valfritt: Skapa en användarprincipal om det inte redan finns en.

Du behöver bara skapa en användarprincipal om den användare som hör till värden inte redan har en tilldelad principal. Instruktioner för användning av Administrationsverktyget för SEAM finns i "Så här skapar du en ny principal". Nedan visas ett kommandoradsexempel.

client1 # /usr/krb5/sbin/kadmin -p kws/admin
Ange lösenord: <Skriv lösenord för kws/admin>
kadmin: addprinc mre
Ange lösenord för principalen mre@ACME.COM: <skriv lösenordet>
Ange lösenord för principalen mre@ACME.COM på nytt: <skriv det igen>
kadmin:

Skapa en root-principal.

kadmin: addprinc root/client1.acme.com
Ange lösenord för principalen root/client1.acme.com@ACME.COM: <skriv lösenordet>
Ange lösenord för principalen root/client1.acme.com@ACME.COM på nytt: <skriv det igen>
kadmin: avsluta

(Valfritt) Om du vill att en användare på SEAM-klienten automatiskt ska kunna montera Kerberos-anpassade NFS-filsystem med användning av Kerberos-verifiering, måste du verifiera root-användaren.

Detta görs säkrast genom att använda kommandot kinit. Detta innebär dock att användare också måste använda kinit som root varje gång de behöver montera ett filsystem som använder Kerberos. Du kan välja att använda en keytab-fil istället. Detaljerad information om vad som behövs för keytab-alternativet finns i "Ställa in root-verifiering för montering av NFS-filsystem".

client1 # /usr/krb5/bin/kinit root/client1.acme.com
Ange lösenord för principalen root/client1.acme.com@ACME.COM: <Ange lösenord>

Om du vill använda keytab-alternativet lägger du till root-principalen i klientens keytab-fil med kadmin:

client1 # /usr/krb5/sbin/kadmin -p kws/admin
Ange lösenord: <Skriv lösenord för kws/admin>
kadmin: ktadd root/client1.acme.com
kadmin: En post för principalen root/client.acme.com med
  kvno 3, krypteringstyp DES-CBC-CRC har lagts till i keytab-filen
  WRFILE:/etc/krb5/krb5.keytab
kadmin: avsluta

Om du vill att klienten ska varna användare innan Kerberos-biljetter upphör att gälla skapar du en post i filen /etc/krb5/warn.conf.

Mer information finns i warn.conf(4).

Uppdatera användarens skalsökväg till att innehålla platsen för kommandon och direkthjälp för SEAM.

Om du installerade SEAM-programvaran med hjälp av konfigurationsfilerna och valde automatisk uppdatering av PATH -definitionen, behöver du bara ändra variabeln MANPATH. Om du använder C-skalet skriver du:
% set path=(/usr/krb5/bin $path) % set MANPATH=(/usr/krb5/man $MANPATH)
Om du vill införa dessa ändringar permanent i skalsökvägen redigerar du startfilen .cshrc eller .login.

Om du använder Bourne-skalet eller Korn-skalet skriver du:
$ PATH=/usr/krb5/bin:$PATH $ MANPATH=/usr/krb5/man:$MANPATH
Om du vill införa dessa ändringar permanent i skalsökvägen redigerar du startfilen .profile.