Sun Guía de Sun Enterprise Authentication Mechanism

Configuración de clientes SEAM

Los clientes SEAM incluyen cualquier sistema de la red (excepto los servidores KDC) que necesite utilizar los servicios de SEAM. Este apartado proporciona un procedimiento para instalar un cliente SEAM, así como información específica sobre cómo utilizar la autenticación de root para montar los sistemas de archivos NFS.

Configuración de un cliente SEAM

Se utilizan los parámetros de configuración siguientes:

nombre de ámbito = ACME.COM

nombre de dominio de DNS = acme.com

KDC maestro = kdc1.acme.com

KDC esclavo = kdc2.acme.com

cliente = cliente.acme.com

principal admin = kws/admin

principal de usuario = mre

URL de ayuda en línea = http://puebla:8888/ab2/coll.384.1/SEAM/@AB2PageView/6956

Nota -

Ajuste el URL para que lleve al apartado "Herramienta de administración de SEAM" tal y como se indica en SEAM: Notas sobre la instalación y la versión.

Requisitos previos para la configuración de un cliente SEAM.

El software de cliente SEAM debe estar instalado.

Edite el archivo de configuración de Kerberos (krb5.conf).

Si ha utilizado el producto de configuración previa no necesita editar este archivo, pero debería revisar su contenido. Para cambiar el archivo a uno distinto de la versión predeterminada de SEAM, debe cambiar los nombres de ámbito y los de los servidores, además de identificar la ruta para los archivos de ayuda de gkadmin.

kdc1 # cat /etc/krb5/krb5.conf
[libdefaults] 
default_realm = ACME.COM

[realms]
                ACME.COM = {
                kdc = kdc1.acme.com
                kdc = kdc2.acme.com
                admin_server = kdc1.acme.com
        } 
[domain_realm]
        .acme.com = ACME.COM
# 
# si el nombre de dominio y el nombre de ámbito son equivalentes
# esta entrada no es necesaria 
# [logging] 
default = FILE:/var/krb5/kdc.log 
kdc = FILE:/var/krb5/kdc.log 

[appdefaults] 
gkadmin = { 
help_url = http://puebla:8888/ab2/coll.384.1/SEAM/@AB2PageView/6956

Opcional: sincronícese con el reloj del KDC maestro mediante NTP u otro mecanismo de sincronización de reloj.

Véase "Sincronización de relojes entre los KDC y los clientes SEAM" para obtener información sobre NTP.

Opcional: cree un principal de usuario si no existe uno.

Únicamente necesita crear un principal de usuario si el usuario asociado con este sistema todavía no tiene asignado ninguno. Véase "Creación de un principal nuevo" para obtener instrucciones sobre el uso de la Herramienta de administración SEAM. A continuación se muestra un ejemplo de línea de comandos.

cliente1 # /usr/krb5/sbin/kadmin -p kws/admin
Escriba la contraseña: <Escriba la contraseña de kws/admin>
kadmin: addprinc mre
Escriba la contraseña para el principal mre@ACME.COM: <escriba la contraseña>
Vuelva a escribir la contraseña para el principal mre@ACME.COM: <escríbala de nuevo>
kadmin:

Cree un principal root.

kadmin: addprinc root/client1.acme.com
Escriba la contraseña para el principal root/client1.acme.com@ACME.COM: <escriba la contraseña>
Vuelva a escribir la contraseña para el principal root/client1.acme.com@ACME.COM: <escríbala de 
nuevo>
kadmin: quit

(Opcional) Si desea que un usuario del cliente SEAM monte automáticamente los sistemas de archivos NFS adaptados a Kerberos mediante la autenticación Kerberos, debe autenticar el usuario root.

Este proceso se realiza con mayor seguridad mediante el comando kinit; sin embargo, cada vez que necesiten montar un sistema de archivos protegido por Kerberos los usuarios deberán utilizar kinit como root . Puede optar por utilizar un archivo de tabla de claves en su lugar. Véase "Configuración de la autenticación de root para montar los sistemas de archivos NFS" para obtener información detallada sobre el requisito de tabla de claves.

client1 # /usr/krb5/bin/kinit root/client1.acme.com
Contraseña para root/client1.acme.com@ACME.COM: <Escriba la contraseña>

Para utilizar la opción del archivo de tabla de claves, agregue el principal root a la tabla de claves del cliente mediante kadmin:

cliente1 # /usr/krb5/sbin/kadmin -p kws/admin
Escriba la contraseña: <Escriba la contraseña de kws/admin>
kadmin: ktadd root/client1.acme.com
kadmin: Entrada para el principal root/client.acme.com 
con kvno 3, tipo de codificación DES-CBC-CRC agregado a la tabla de claves 
WRFILE:/etc/krb5/krb5.keytab. 
kadmin: quit

Si desea que el cliente avise a los usuarios sobre la caducidad de los cupones de Kerberos, cree una entrada en el archivo /etc/krb5/warn.conf.

Para obtener más información, véase warn.conf(4).

Actualice la ruta de búsqueda del shell del usuario para que incluya la ubicación de los comandos y las páginas del comando man SEAM.

Si ha instalado el software SEAM mediante los archivos de configuración y ha seleccionado la actualización automática de la definición de PATH, sólo necesita cambiar la variable MANPATH. Si utiliza el C shell, escriba:
% set path=(/usr/krb5/bin $path) % set MANPATH=(/usr/krb5/man $MANPATH)
Para realizar estos cambios en la ruta de búsqueda de su shell de forma permanente, edite su archivo de inicio .cshrc o .login.

Si utiliza el shell Bourne o Korn, escriba:
$ PATH=/usr/krb5/bin:$PATH $ MANPATH=/usr/krb5/man:$MANPATH
Para realizar estos cambios en la ruta de búsqueda de su shell de forma permanente, edite su archivo de inicio .profile.

Configuración de la autenticación de root para montar los sistemas de archivos NFS

Si los usuarios desean acceder a un sistema de archivos NFS no adaptado a Kerberos, puede montarse este sistema de archivos como root o accederse a él directamente a través del montador automático (sin necesitar permisos de root).

El montaje de un sistema de archivos NFS adaptado a Kerberos es muy similar, pero presenta un obstáculo adicional. Para montar un sistema de archivo NFS adaptado a Kerberos, los usuarios deben utilizar el comando kinit como root para obtener las credenciales para el principal root del cliente, ya que habitualmente éste no se encuentra en la tabla de claves del cliente . Esto es cierto incluso cuando está configurado el montador automático. Pero no es sólo un paso más, ya que fuerza a todos los usuarios a que conozcan la contraseña del usuario root de su sistema y la contraseña del principal root.

Para obviar este problema, puede agregar el principal root de un cliente a su tabla de claves, lo que proporcionará automáticamente las credenciales para root. Aunque esto permite a los usuarios que puedan montar sistemas de archivos NFS sin ejecutar el comando kinit y mejora la facilidad de uso, es un riesgo de seguridad. Por ejemplo, si alguien obtiene el acceso a un sistema con el principal root en su tabla de claves, tiene la posibilidad de obtener las credenciales de root. Asegúrese de que toma las precauciones de seguridad adecuadas. Para obtener más información, véase "Administración de tablas de claves".