test

Sun Guía de Sun Enterprise Authentication Mechanism

Definición de la autenticación jerárquica de ámbitos cruzados

Para este ejemplo utilizaremos dos ámbitos, ING.ESTE.ACME.COM y ESTE.ACME.COM. La autenticación de ámbitos cruzados se establecerá en ambas direcciones. Este procedimiento debe realizarse en el KDC maestro de ambos ámbitos.

  1. Requisitos previos para establecer la autenticación jerárquica de ámbitos cruzados.

    Este procedimiento requiere que se haya configurado el KDC maestro para cada ámbito. Para comprobar totalmente el proceso, deben estar instalados varios clientes o KDC esclavos.

  2. Conviértase en root en el primer KDC maestro.

  3. Cree principales de servicio de cupón de obtención de cupones para los dos ámbitos mediante kadmin.

    Debe iniciar una sesión con uno de los nombres de principal admin que se crearon al configurar el KDC maestro.


    # /usr/krb5/sbin/kadmin -p kws/admin
Escriba la contraseña: <Escriba la contraseña de kws/admin>
kadmin: addprinc krbtgt/ING.ESTE.ACME.COM@ESTE.ACME.COM
Escriba la contraseña para el principal krgtgt/ING.ESTE.ACME.COM@ESTE.ACME.COM: <escriba la 
contraseña>
kadmin: addprinc krbtgt/ESTE.ACME.COM@ING.ESTE.ACME.COM
Escriba la contraseña para el principal krgtgt/ESTE.ACME.COM@ING.ESTE.ACME.COM: <escriba la 
contraseña>
kadmin: quit
    Nota -

    La contraseña para cada principal de servicio debe ser idéntica en ambos KDC, es decir la contraseña para krbtgt/ING.ESTE.ACME.COM@ESTE.ACME.COM debe ser la misma para ambos ámbitos.

  4. Agregue entradas al archivo de configuración de Kerberos para definir los nombres de dominio para cada ámbito (krb5.conf).


    # cat /etc/krb5/kpropd.acl
[libdefaults] 
. 
. 
[domain_realm]
        .ing.este.acme.com = ING.ESTE.ACME.COM
        .este.acme.com = ESTE.ACME.COM

    En este ejemplo, se definen los nombres de dominio para los ámbitos ING.ESTE.ACME.COM y ESTE.ACME.COM. Es importante incluir primero el subdominio, ya que el archivo se busca de arriba a abajo.

  5. Copie el archivo de configuración de Kerberos a todos los clientes de este ámbito.

    Para que funcione la autenticación de ámbitos cruzados, todos los sistemas (incluidos los KDC esclavos y otros servidores) deben tener instalada la nueva versión del archivo de configuración de Kerberos (/etc/krb5/krb5.conf).

  6. Repita estos pasos en el segundo ámbito.