test

Handbok för Sun Enterprise Authentication Mechanism

Så här upprättar du direkt verifiering mellan användarkategorier

I det här exemplet används två användarkategorier: ENG.EAST.ACME.COM och SALES.WEST.ACME.COM. Verifiering mellan användarkategorierna kommer att upprättas i båda riktningarna. Den här proceduren måste utföras på huvud-KDC:n för båda användarkategorierna.

  1. Förutsättningar för att upprätta direkt verifiering mellan användarkategorier.

    Den här proceduren förutsätter att huvud-KDC:n för varje användarkategori har konfigurerats. För att prova den här processen fullt ut måste flera klienter eller slav-KDC:er vara installerade.

  2. Bli superanvändare på en av huvud-KDC-servrarna.

  3. Skapa TGT-tjänstprincipaler för de två användarkategorierna med kadmin.

    Du måste logga in med ett av de principalnamn för admin som skapades när du konfigurerade huvud-KDC:n.


    # /usr/krb5/sbin/kadmin -p kws/admin
Ange lösenord: <Skriv lösenord för kws/admin>
kadmin: addprinc krbtgt/ENG.EAST.ACME.COM@SALES.WEST.ACME.COM
Ange lösenord för principalen 
  krgtgt/ENG.EAST.ACME.COM@SALES.WEST.ACME.COM: <skriv lösenordet>
kadmin: addprinc krbtgt/SALES.WEST.ACME.COM@ENG.EAST.ACME.COM
Ange lösenord för principalen 
  krgtgt/SALES.WEST.ACME.COM@ENG.EAST.ACME.COM: <skriv lösenordet>
kadmin: avsluta
    Obs!

    Det angivna lösenordet för tjänstprincipalen måste vara identiskt för båda KDC:erna vilket innebär att lösenordet för krbtgt/ENG.EAST.ACME.COM@SALES.WEST.ACME.COM måste vara samma för båda användarkategorierna.

  4. Lägg till poster i konfigurationsfilen för Kerberos för att definiera direktsökvägen till fjärranvändarkategorin (kdc.conf).

    Det här exemplet gäller klienterna i användarkategorin ENG.EAST.ACME.COM . Om du byter ut användarkategorinamnen får du definitionerna för användarkategorin SALES.WEST.ACME.COM.


    # cat /etc/krb5/krb5.conf
[libdefaults]
 .
 .
[capaths]
    ENG.EAST.ACME.COM = {
        SALES.WEST.ACME.COM = .
    }

    SALES.WEST.ACME.COM = {
         ENG.EAST.ACME.COM = .
    }

  5. Kopiera konfigurationsfilen för Kerberos till alla klienter i den aktuella användarkategorin.

    För att verifiering mellan användarkategorier ska fungera, måste alla system (inklusive slav-KDC:er och andra servrar) ha den nya versionen av konfigurationsfilen (krb5.conf) installerad.

  6. Upprepa stegen för den andra användarkategorin.