test

Sun Enterprise Authentication Mechanism Handbuch

So richten Sie die direkte bereichsübergreifende Authentisierung ein

In diesem Beispiel werden zwei Bereiche verwendet: ENG.EAST.ACME.COM und SALES.WEST.ACME.COM. Bereichsübergreifende Authentifizierung wird in beide Richtungen eingerichtet. Dieses Verfahren muß in beiden Bereichen jeweils auf dem Master-KDC durchgeführt werden.

  1. Voraussetzung zur Einrichtung der direkten bereichsübergreifenden Authentifizierung.

    Dieses Verfahren verlangt, daß das Master-KDC für jeden Bereich installiert ist. Um den Prozeß vollständig testen zu können, müssen verschiedene Clients oder Slave-KDCs installiert sein.

  2. Melden Sie sich als Superuser bei einem der Master-KDC-Server an.

  3. Erstellen Sie mit kadmin Hauptbenutzer für den Ticket-Granting-Ticket-Service in beiden Bereichen.

    Sie müssen sich mit einem der admin-Hauptbenutzernamen anmelden, die Sie beim Konfigurieren des Master-KDCs erstellt haben.


    # /usr/krb5/sbin/kadmin -p kws/admin
Paßwort eingeben: <Eingabe des Paßworts für kws/admin>
kadmin: addprinc krbtgt/ENG.EAST.ACME.COM@SALES.WEST.ACME.COM
Geben Sie das Paßwort für Hauptbenutzer 
  krgtgt/ENG.EAST.ACME.COM@SALES.WEST.ACME.COM ein: <Eingabe des Paßworts>
kadmin: addprinc krbtgt/SALES.WEST.ACME.COM@ENG.EAST.ACME.COM
Geben Sie das Paßwort für Hauptbenutzer 
  krgtgt/SALES.WEST.ACME.COM@ENG.EAST.ACME.COM ein: <Eingabe des Paßworts>
kadmin: quit
    Hinweis -

    Das für jeden Service-Hauptbenutzer eingegebene Paßwort muß in beiden KDCs identisch sein; das bedeutet, das Paßwort für krbtgt/ENG.EAST.ACME.COM@EAST.ACME.COM muß in beiden Bereichen dasselbe sein.

  4. Fügen Sie Einträge zur Kerberos-Konfigurationsdatei hinzu, mit denen Sie den direkten Pfad zum entfernten Bereich definieren (kdc.conf).

    Dieses Beispiel steht für die Clients im Bereich ENG.EAST.ACME.COM . Sie würden die Bereichsnamen austauschen, um die entsprechende Definition im Bereich SALES.WEST.ACME.COM zu erhalten.


    # cat /etc/krb5/krb5.conf
[libdefaults]
 .
 .
[capaths]
    ENG.EAST.ACME.COM = {
        SALES.WEST.ACME.COM = .
    }

    SALES.WEST.ACME.COM = {
         ENG.EAST.ACME.COM = .
    }

  5. Kopieren Sie die Kerberos-Konfigurationsdatei auf allen Clients des jeweiligen Bereichs.

    Damit die bereichsübergreifende Authentifizierung funktioniert, müssen alle Systeme (einschließlich Slave-KDCs und andere Server) die neue Version der Kerberos-Konfigurationsdatei (krb5.conf) installiert haben.

  6. Wiederholen Sie diese Schritte für den zweiten Bereich.