test

Handbok för Sun Enterprise Authentication Mechanism

Så här upprättar du hierarkisk verifiering mellan användarkategorier

I det här exemplet använder vi två användarkategorier, ENG.EAST.ACME.COM och EAST.ACME.COM. Verifiering mellan kategorierna kommer att upprättas i båda riktningarna. Den här proceduren måste utföras på huvud-KDC:n för båda användarkategorierna.

  1. Förutsättningar för att upprätta hierarkisk verifiering mellan användarkategorier.

    Den här proceduren förutsätter att huvud-KDC:n för varje användarkategori har konfigurerats. För att prova den här processen fullt ut måste flera klienter eller slav-KDC:er vara installerade.

  2. Bli root på den första huvud-KDC:n.

  3. Skapa TGT-tjänstprincipaler för de två användarkategorierna med kadmin.

    Du måste logga in med ett av de principalnamn för admin som skapades när du konfigurerade huvud-KDC:n.


    # /usr/krb5/sbin/kadmin -p kws/admin
Ange lösenord: <Skriv lösenord för kws/admin>
kadmin: addprinc krbtgt/ENG.EAST.ACME.COM@EAST.ACME.COM
Ange lösenord för principalen krgtgt/ENG.EAST.ACME.COM@EAST.ACME.COM: <skriv lösenordet>
kadmin: addprinc krbtgt/EAST.ACME.COM@ENG.EAST.ACME.COM
Ange lösenord för principalen krgtgt/EAST.ACME.COM@ENG.EAST.ACME.COM: <skriv lösenordet>
kadmin: avsluta
    Obs!

    Det angivna lösenordet för tjänstprincipalen måste vara identiskt för båda KDC:erna vilket innebär att lösenordet för krbtgt/ENG.EAST.ACME.COM@EAST.ACME.COM måste vara samma för båda användarkategorierna.

  4. Lägg till poster i konfigurationsfilen för Kerberos för att definiera domännamn för varje användarkategori (krb5.conf).


    # cat /etc/krb5/krb5.conf
[libdefaults]
 .
 .
[domain_realm]
        .eng.east.acme.com = ENG.EAST.ACME.COM
        .east.acme.com = EAST.ACME.COM

    I det här exemplet definieras domännamn för användarkategorierna ENG.EAST.ACME.COM och EAST.ACME.COM. Det är viktigt att underdomänen tas med först eftersom filen genomsöks uppifrån och ned.

  5. Kopiera konfigurationsfilen för Kerberos till alla klienter i den här användarkategorin.

    För att verifiering mellan användarkategorier ska fungera, måste alla system (inklusive slav-KDC:er och andra servrar) ha den nya versionen av konfigurationsfilen (/etc/krb5/krb5.conf) installerad.

  6. Upprepa stegen i den andra användarkategorin.