Sun Enterprise Authentication Mechanism Handbuch

So wird ein Slave-KDC konfiguriert

Es werden die folgenden Konfigurationsparameter verwendet:

Bereichsname = ACME.COM

DNS-Domainname = acme.com

Master-KDC = kdc1.acme.com

Slave-KDC = kdc2.acme.com

Client = client.acme.com

Admin-Hauptbenutzer = kws/admin

Benutzer-Hauptbenutzer = mre

Online-Hilfe-URL = http://denver:8888/ab2/coll.384.1/SEAM/@AB2PageView/6956

Hinweis -

Passen Sie den URL so an, daß er auf den Abschnitt "SEAM Verwaltungstool" zeigt, wie in den Hinweisen zur Installation und Version von SEAM beschrieben.

Voraussetzungen für die Konfiguration eines Master-KDCs

Die SEAM Client-Software muß installiert sein.

Bearbeiten Sie die Kerberos-Konfigurationsdatei (krb5.conf).

Wenn Sie das Vorkonfigurationsverfahren angewendet haben, müssen Sie diese Datei nicht bearbeiten, sie sollten den Inhalt jedoch überprüfen. Um die SEAM-Standardversion der Datei zu ändern, müssen Sie die Bereichsnamen und die Servernamen ändern, wie auch den Pfad zu den Hilfedateien für gkadmin festlegen.

kdc1 # cat /etc/krb5/krb5.conf
[libdefaults]
        default_realm = ACME.COM

[realms]
                ACME.COM = {
                kdc = kdc1.acme.com
                kdc = kdc2.acme.com
                admin_server = kdc1.acme.com
        }

[domain_realm]
        .acme.com = ACME.COM
#
# Wenn Domainname und Bereichsname identisch sind,
# wird dieser Eintrag nicht benötigt
#
[logging]
        default = FILE:/var/krb5/kdc.log
        kdc = FILE:/var/krb5/kdc.log

[appdefaults]
    gkadmin = {
        help_url = http://denver:8888/ab2/coll.384.1/SEAM/@AB2PageView/6956

Optional: Synchronisieren Sie mit der Systemuhr des Master-KDCs über NTP oder einen anderen Mechanismus für die Synchronisation der Uhrzeit.

Siehe "Synchronisieren der Uhren zwischen KDCs und SEAM-Clients", um weitere Informationen über NTP zu erhalten.

Optional: Erstellen Sie einen Benutzer-Hauptbenutzer, falls noch keiner existiert.

Sie müssen einen Benutzer-Hauptbenutzer nur dann erstellen, wenn der diesem Host zugeordnete Benutzer noch keinem Hauptbenutzer zugeordnet ist. Siehe "Erstellen eines neuen Hauptbenutzers", wo Anweisungen zur Verwendung des SEAM-Verwaltungstools gegeben werden. Ein Befehlszeilen-Beispiel wird weiter unten gezeigt.

client1 # /usr/krb5/sbin/kadmin -p kws/admin
Paßwort eingeben: <Eingabe des Paßworts für kws/admin>
kadmin: addprinc mre
Paßwort eingeben für Hauptbenutzer mre@ACME.COM: <Eingabe des Paßworts>
Paßwort erneut eingeben für Hauptbenutzer mre@ACME.COM: <Nochmalige Eingabe>
kadmin:

Erstellen Sie einen Root-Hauptbenutzer.

kadmin: addprinc root/client1.acme.com
Geben Sie das Paßwort für Hauptbenutzer root/client1.acme.com@ACME.COM ein: <Eingabe des Paßworts>
Geben Sie das Paßwort für Hauptbenutzer root/client1.acme.com@ACME.COM erneut ein: <Nochmalige Eingabe>
kadmin: quit

(Optional) Wenn Sie möchten, daß ein Benutzer auf dem SEAM-Client automatisch kerberosfähige NFS-Dateisysteme mithilfe der Kerberos-Authentisierung einhängt, müssen Sie den Benutzer Root authentisieren.

Dieser Prozeß wird am sichersten mit dem Befehl kinit durchgeführt; der Benutzer muß jedoch jedesmal, wenn er ein durch Kerberos gesichertes Dateisystem einhängen möchte, kinit als root anwenden. Sie können stattdessen auch eine Schlüsseltabellendatei verwenden. Ausführliche Informationen über die Anforderungen an Schlüsseltabellen erhalten Sie unter "Einrichten der Root-Authentisierung für das Einhängen von NFS-Dateisystemen".

client1 # /usr/krb5/bin/kinit root/client1.acme.com
Paßwort für root/client1.acme.com@ACME.COM: <Geben Sie das Paßwort ein:

Um die Schlüsseltabellendatei-Option zu verwenden, fügen Sie den root-Hauptbenutzer zur Schlüsseltabelle des Clients mit kadmin hinzu:

client1 # /usr/krb5/sbin/kadmin -p kws/admin
Paßwort eingeben: <Eingabe des Paßworts für kws/admin>
kadmin: ktadd root/client1.acme.com
kadmin: Eintrag für root/client.acme.com mit
  kvno 3, Verschlüsselungstyp DES-CBC-CRC zur Schlüsseltabelle hinzugefügt
  WRFILE:/etc/krb5/krb5.keytab
kadmin: quit

Wenn Sie möchten, daß der Client die Benutzer vor Ablauf des Kerberos-Tickets warnt, erstellen Sie einen Eintrag in der Datei /etc/krb5/warn.conf.

Siehe warn.conf(4), um weitere Informationen zu erhalten.

Aktualisieren Sie den Suchpfad der Benutzershell, um den Speicherort der SEAM-Befehle und der Online-Dokumentation mit einzuschließen.

Wenn Sie die SEAM-Software mithilfe der Konfigurationsdateien installiert und ausgewählt haben, die Definition von PATH automatisch zu aktualisieren, dann brauchen Sie nur die Variable MANPATHzu ändern. Wenn Sie die C-Shell verwenden, geben sie ein:
% set path=(/usr/krb5/bin $path) % set MANPATH=(/usr/krb5/man $MANPATH)
Damit diese Änderungen sich dauerhaft auf den Suchpfad Ihrer Shell auswirken, bearbeiten Sie Ihre Startdatei .cshrc oder .login.

Wenn Sie die Bourne- oder Korn-Shell verwenden, geben Sie ein:
$ PATH=/usr/krb5/bin:$PATH $ MANPATH=/usr/krb5/man:$MANPATH
Damit diese Änderungen sich dauerhaft auf den Suchpfad Ihrer Shell auswirken, bearbeiten Sie Ihre Startdatei .cshrc oder .login.