test

Sun Enterprise Authentication Mechanism Handbuch

So richten Sie die hierarchische, bereichsübergreifende Authentisierung ein

Für dieses Beispiel verwenden wir zwei Bereiche, ENG.EAST.ACME.COM und EAST.ACME.COM. Die bereichsübergreifende Authentisierung wird in beide Richtungen eingerichtet. Dieses Verfahren muß in beiden Bereichen jeweils auf dem Master-KDC durchgeführt werden.

  1. Voraussetzung zur Einrichtung der hierarchischen bereichsübergreifenden Authentifizierung

    Dieses Verfahren verlangt, daß das Master-KDC für jeden Bereich installiert ist. Um den Prozeß vollständig testen zu können, müssen verschiedene Clients oder Slave-KDCs installiert sein.

  2. Melden Sie sich auf dem ersten Master-KDC als root an.

  3. Erstellen Sie mit kadmin Hauptbenutzer für den Ticket-Granting-Ticket-Service in beiden Bereichen.

    Sie müssen sich mit einem der admin-Hauptbenutzernamen anmelden, die Sie beim Konfigurieren des Master-KDCs erstellt haben.


    # /usr/krb5/sbin/kadmin -p kws/admin
Paßwort eingeben: <Eingabe des Paßworts für kws/admin>
kadmin: addprinc krbtgt/ENG.EAST.ACME.COM@EAST.ACME.COM
Geben Sie das Paßwort für Hauptbenutzer krgtgt/ENG.EAST.ACME.COM@EAST.ACME.COM ein: <Eingabe des Paßworts>
kadmin: addprinc krbtgt/EAST.ACME.COM@ENG.EAST.ACME.COM
Geben Sie das Paßwort für Hauptbenutzer krgtgt/EAST.ACME.COM@EAST.ACME.COM ein: <Eingabe des Paßworts>
kadmin: quit
    Hinweis -

    Das für jeden Service-Hauptbenutzer eingegebene Paßwort muß in beiden KDCs identisch sein; das bedeutet, das Paßwort für krbtgt/ENG.EAST.ACME.COM@EAST.ACME.COM muß in beiden Bereichen dasselbe sein.

  4. Fügen Sie Einträge zur Kerberos-Konfigurationsdatei hinzu, mit denen Sie Domain-Namen für jeden Bereich definieren (krb5.conf).


    # cat /etc/krb5/krb5.conf
[libdefaults]
 .
 .
[domain_realm]
        .eng.east.acme.com = ENG.EAST.ACME.COM
        .east.acme.com = EAST.ACME.COM

    In diesem Beispiel werden die Domain-Namen für die Bereiche ENG.EAST.ACME.COM und EAST.ACME.COM definiert. Es ist wichtig, die Subdomain zuerst einzugeben, da die Datei von oben nach unten durchsucht wird.

  5. Kopieren Sie die Kerberos-Konfigurationsdatei auf allen Clients eines Bereichs.

    Damit die bereichsübergreifende Authentifizierung funktioniert, müssen alle Systeme (einschließlich KDCs und andere Server) die neue Version der Kerberos-Konfigurationsdatei (/etc/krb5/krb5.conf) installiert haben.

  6. Wiederholen Sie diese Schritte im zweiten Bereich.