test

Sun Enterprise Authentication Mechanism Handbuch

Konfigurieren der bereichsübergreifenden Authentisierung

Sie haben mehrere Möglichkeiten, Bereiche miteinander zu verknüpfen, damit Benutzer aus einem Bereich in einem anderen Bereich authentisiert werden können. Normalerweise wird dies durch die Einrichtung eines Geheimschlüssels erreicht, der zwischen beiden Bereichen ausgetauscht wird. Die Beziehung zwischen Bereichen kann hierarchisch oder gerichtet sein (siehe "Bereichshierarchie").

So richten Sie die hierarchische, bereichsübergreifende Authentisierung ein

Für dieses Beispiel verwenden wir zwei Bereiche, ENG.EAST.ACME.COM und EAST.ACME.COM. Die bereichsübergreifende Authentisierung wird in beide Richtungen eingerichtet. Dieses Verfahren muß in beiden Bereichen jeweils auf dem Master-KDC durchgeführt werden.

  1. Voraussetzung zur Einrichtung der hierarchischen bereichsübergreifenden Authentifizierung

    Dieses Verfahren verlangt, daß das Master-KDC für jeden Bereich installiert ist. Um den Prozeß vollständig testen zu können, müssen verschiedene Clients oder Slave-KDCs installiert sein.

  2. Melden Sie sich auf dem ersten Master-KDC als root an.

  3. Erstellen Sie mit kadmin Hauptbenutzer für den Ticket-Granting-Ticket-Service in beiden Bereichen.

    Sie müssen sich mit einem der admin-Hauptbenutzernamen anmelden, die Sie beim Konfigurieren des Master-KDCs erstellt haben.


    # /usr/krb5/sbin/kadmin -p kws/admin
Paßwort eingeben: <Eingabe des Paßworts für kws/admin>
kadmin: addprinc krbtgt/ENG.EAST.ACME.COM@EAST.ACME.COM
Geben Sie das Paßwort für Hauptbenutzer krgtgt/ENG.EAST.ACME.COM@EAST.ACME.COM ein: <Eingabe des Paßworts>
kadmin: addprinc krbtgt/EAST.ACME.COM@ENG.EAST.ACME.COM
Geben Sie das Paßwort für Hauptbenutzer krgtgt/EAST.ACME.COM@EAST.ACME.COM ein: <Eingabe des Paßworts>
kadmin: quit
    Hinweis -

    Das für jeden Service-Hauptbenutzer eingegebene Paßwort muß in beiden KDCs identisch sein; das bedeutet, das Paßwort für krbtgt/ENG.EAST.ACME.COM@EAST.ACME.COM muß in beiden Bereichen dasselbe sein.

  4. Fügen Sie Einträge zur Kerberos-Konfigurationsdatei hinzu, mit denen Sie Domain-Namen für jeden Bereich definieren (krb5.conf).


    # cat /etc/krb5/krb5.conf
[libdefaults]
 .
 .
[domain_realm]
        .eng.east.acme.com = ENG.EAST.ACME.COM
        .east.acme.com = EAST.ACME.COM

    In diesem Beispiel werden die Domain-Namen für die Bereiche ENG.EAST.ACME.COM und EAST.ACME.COM definiert. Es ist wichtig, die Subdomain zuerst einzugeben, da die Datei von oben nach unten durchsucht wird.

  5. Kopieren Sie die Kerberos-Konfigurationsdatei auf allen Clients eines Bereichs.

    Damit die bereichsübergreifende Authentifizierung funktioniert, müssen alle Systeme (einschließlich KDCs und andere Server) die neue Version der Kerberos-Konfigurationsdatei (/etc/krb5/krb5.conf) installiert haben.

  6. Wiederholen Sie diese Schritte im zweiten Bereich.

So richten Sie die direkte bereichsübergreifende Authentisierung ein

In diesem Beispiel werden zwei Bereiche verwendet: ENG.EAST.ACME.COM und SALES.WEST.ACME.COM. Bereichsübergreifende Authentifizierung wird in beide Richtungen eingerichtet. Dieses Verfahren muß in beiden Bereichen jeweils auf dem Master-KDC durchgeführt werden.

  1. Voraussetzung zur Einrichtung der direkten bereichsübergreifenden Authentifizierung.

    Dieses Verfahren verlangt, daß das Master-KDC für jeden Bereich installiert ist. Um den Prozeß vollständig testen zu können, müssen verschiedene Clients oder Slave-KDCs installiert sein.

  2. Melden Sie sich als Superuser bei einem der Master-KDC-Server an.

  3. Erstellen Sie mit kadmin Hauptbenutzer für den Ticket-Granting-Ticket-Service in beiden Bereichen.

    Sie müssen sich mit einem der admin-Hauptbenutzernamen anmelden, die Sie beim Konfigurieren des Master-KDCs erstellt haben.


    # /usr/krb5/sbin/kadmin -p kws/admin
Paßwort eingeben: <Eingabe des Paßworts für kws/admin>
kadmin: addprinc krbtgt/ENG.EAST.ACME.COM@SALES.WEST.ACME.COM
Geben Sie das Paßwort für Hauptbenutzer 
  krgtgt/ENG.EAST.ACME.COM@SALES.WEST.ACME.COM ein: <Eingabe des Paßworts>
kadmin: addprinc krbtgt/SALES.WEST.ACME.COM@ENG.EAST.ACME.COM
Geben Sie das Paßwort für Hauptbenutzer 
  krgtgt/SALES.WEST.ACME.COM@ENG.EAST.ACME.COM ein: <Eingabe des Paßworts>
kadmin: quit
    Hinweis -

    Das für jeden Service-Hauptbenutzer eingegebene Paßwort muß in beiden KDCs identisch sein; das bedeutet, das Paßwort für krbtgt/ENG.EAST.ACME.COM@EAST.ACME.COM muß in beiden Bereichen dasselbe sein.

  4. Fügen Sie Einträge zur Kerberos-Konfigurationsdatei hinzu, mit denen Sie den direkten Pfad zum entfernten Bereich definieren (kdc.conf).

    Dieses Beispiel steht für die Clients im Bereich ENG.EAST.ACME.COM . Sie würden die Bereichsnamen austauschen, um die entsprechende Definition im Bereich SALES.WEST.ACME.COM zu erhalten.


    # cat /etc/krb5/krb5.conf
[libdefaults]
 .
 .
[capaths]
    ENG.EAST.ACME.COM = {
        SALES.WEST.ACME.COM = .
    }

    SALES.WEST.ACME.COM = {
         ENG.EAST.ACME.COM = .
    }

  5. Kopieren Sie die Kerberos-Konfigurationsdatei auf allen Clients des jeweiligen Bereichs.

    Damit die bereichsübergreifende Authentifizierung funktioniert, müssen alle Systeme (einschließlich Slave-KDCs und andere Server) die neue Version der Kerberos-Konfigurationsdatei (krb5.conf) installiert haben.

  6. Wiederholen Sie diese Schritte für den zweiten Bereich.