Sun Guía de Sun Enterprise Authentication Mechanism

Configuración de un cliente SEAM

Se utilizan los parámetros de configuración siguientes:

nombre de ámbito = ACME.COM

nombre de dominio de DNS = acme.com

KDC maestro = kdc1.acme.com

KDC esclavo = kdc2.acme.com

cliente = cliente.acme.com

principal admin = kws/admin

principal de usuario = mre

URL de ayuda en línea = http://puebla:8888/ab2/coll.384.1/SEAM/@AB2PageView/6956

Nota -

Ajuste el URL para que lleve al apartado "Herramienta de administración de SEAM" tal y como se indica en SEAM: Notas sobre la instalación y la versión.

Requisitos previos para la configuración de un cliente SEAM.

El software de cliente SEAM debe estar instalado.

Edite el archivo de configuración de Kerberos (krb5.conf).

Si ha utilizado el producto de configuración previa no necesita editar este archivo, pero debería revisar su contenido. Para cambiar el archivo a uno distinto de la versión predeterminada de SEAM, debe cambiar los nombres de ámbito y los de los servidores, además de identificar la ruta para los archivos de ayuda de gkadmin.

kdc1 # cat /etc/krb5/krb5.conf
[libdefaults] 
default_realm = ACME.COM

[realms]
                ACME.COM = {
                kdc = kdc1.acme.com
                kdc = kdc2.acme.com
                admin_server = kdc1.acme.com
        } 
[domain_realm]
        .acme.com = ACME.COM
# 
# si el nombre de dominio y el nombre de ámbito son equivalentes
# esta entrada no es necesaria 
# [logging] 
default = FILE:/var/krb5/kdc.log 
kdc = FILE:/var/krb5/kdc.log 

[appdefaults] 
gkadmin = { 
help_url = http://puebla:8888/ab2/coll.384.1/SEAM/@AB2PageView/6956

Opcional: sincronícese con el reloj del KDC maestro mediante NTP u otro mecanismo de sincronización de reloj.

Véase "Sincronización de relojes entre los KDC y los clientes SEAM" para obtener información sobre NTP.

Opcional: cree un principal de usuario si no existe uno.

Únicamente necesita crear un principal de usuario si el usuario asociado con este sistema todavía no tiene asignado ninguno. Véase "Creación de un principal nuevo" para obtener instrucciones sobre el uso de la Herramienta de administración SEAM. A continuación se muestra un ejemplo de línea de comandos.

cliente1 # /usr/krb5/sbin/kadmin -p kws/admin
Escriba la contraseña: <Escriba la contraseña de kws/admin>
kadmin: addprinc mre
Escriba la contraseña para el principal mre@ACME.COM: <escriba la contraseña>
Vuelva a escribir la contraseña para el principal mre@ACME.COM: <escríbala de nuevo>
kadmin:

Cree un principal root.

kadmin: addprinc root/client1.acme.com
Escriba la contraseña para el principal root/client1.acme.com@ACME.COM: <escriba la contraseña>
Vuelva a escribir la contraseña para el principal root/client1.acme.com@ACME.COM: <escríbala de 
nuevo>
kadmin: quit

(Opcional) Si desea que un usuario del cliente SEAM monte automáticamente los sistemas de archivos NFS adaptados a Kerberos mediante la autenticación Kerberos, debe autenticar el usuario root.

Este proceso se realiza con mayor seguridad mediante el comando kinit; sin embargo, cada vez que necesiten montar un sistema de archivos protegido por Kerberos los usuarios deberán utilizar kinit como root . Puede optar por utilizar un archivo de tabla de claves en su lugar. Véase "Configuración de la autenticación de root para montar los sistemas de archivos NFS" para obtener información detallada sobre el requisito de tabla de claves.

client1 # /usr/krb5/bin/kinit root/client1.acme.com
Contraseña para root/client1.acme.com@ACME.COM: <Escriba la contraseña>

Para utilizar la opción del archivo de tabla de claves, agregue el principal root a la tabla de claves del cliente mediante kadmin:

cliente1 # /usr/krb5/sbin/kadmin -p kws/admin
Escriba la contraseña: <Escriba la contraseña de kws/admin>
kadmin: ktadd root/client1.acme.com
kadmin: Entrada para el principal root/client.acme.com 
con kvno 3, tipo de codificación DES-CBC-CRC agregado a la tabla de claves 
WRFILE:/etc/krb5/krb5.keytab. 
kadmin: quit

Si desea que el cliente avise a los usuarios sobre la caducidad de los cupones de Kerberos, cree una entrada en el archivo /etc/krb5/warn.conf.

Para obtener más información, véase warn.conf(4).

Actualice la ruta de búsqueda del shell del usuario para que incluya la ubicación de los comandos y las páginas del comando man SEAM.

Si ha instalado el software SEAM mediante los archivos de configuración y ha seleccionado la actualización automática de la definición de PATH, sólo necesita cambiar la variable MANPATH. Si utiliza el C shell, escriba:
% set path=(/usr/krb5/bin $path) % set MANPATH=(/usr/krb5/man $MANPATH)
Para realizar estos cambios en la ruta de búsqueda de su shell de forma permanente, edite su archivo de inicio .cshrc o .login.

Si utiliza el shell Bourne o Korn, escriba:
$ PATH=/usr/krb5/bin:$PATH $ MANPATH=/usr/krb5/man:$MANPATH
Para realizar estos cambios en la ruta de búsqueda de su shell de forma permanente, edite su archivo de inicio .profile.