test

Sun Guía de Sun Enterprise Authentication Mechanism

Definición de la autenticación directa de ámbitos cruzados

Este ejemplo utiliza dos ámbitos: ING.ESTE.ACME.COM y VENTAS.OESTE.ACME.COM. La autenticación de ámbitos cruzados se establecerá en ambas direcciones. Este procedimiento debe realizarse en el KDC maestro de ambos ámbitos.

  1. Requisitos previos para establecer la autenticación directa de ámbitos cruzados.

    Este procedimiento requiere que se haya configurado el KDC maestro para cada ámbito. Para comprobar totalmente el proceso, deben estar instalados varios clientes o KDC esclavos.

  2. Conviértase en superusuario en uno de los servidores KDC maestros.

  3. Cree principales de servicio de cupón de obtención de cupones para los dos ámbitos mediante kadmin.

    Debe iniciar una sesión con uno de los nombres de principal admin que se crearon al configurar el KDC maestro.


    # /usr/krb5/sbin/kadmin -p kws/admin
Escriba la contraseña: <Escriba la contraseña de kws/admin>
kadmin: addprinc krbtgt/ING.ESTE.ACME.COM@VENTAS.OESTE.ACME.COM
Escriba la contraseña para el principal 
krgtgt/ING.ESTE.ACME.COM@VENTAS.OESTE.ACME.COM: <escriba la contraseña>
kadmin: addprinc krbtgt/VENTAS.OESTE.ACME.COM@ING.ESTE.ACME.COM
Escriba la contraseña para el principal 
krgtgt/VENTAS.OESTE.ACME.COM@ING.ESTE.ACME.COM: <escriba la contraseña>
kadmin: quit
    Nota -

    La contraseña para cada principal de servicio debe ser idéntica en ambos KDC, es decir que la contraseña para krbtgt/ING.ESTE.ACME.COM@VENTAS.OESTE.ACME.COM debe ser la misma para ambos ámbitos.

  4. Agregue entradas en el archivo de configuración de Kerberos para definir la ruta directa al ámbito remoto (kdc.conf).

    Este ejemplo es para los clientes del ámbito ING.ESTE.ACME.COM . Para obtener las definiciones adecuadas del ámbito VENTAS.OESTE.ACME.COM, debería intercambiar los nombres de ámbito.


    # cat /etc/krb5/krb5.conf
[libdefaults] 
. 
.
[capaths]
    ING.ESTE.ACME.COM = {
        VENTAS.OESTE.ACME.COM = .
    }

    VENTAS.OESTE.ACME.COM = {
         ING.ESTE.ACME.COM = .
    }

  5. Copie el archivo de configuración de Kerberos a todos los clientes del ámbito actual.

    Para que funcione la autenticación de ámbitos cruzados, todos los sistemas (incluidos los KDC esclavos y otros servidores) deben tener instalada la nueva versión del archivo de configuración de Kerberos ( krb5.conf).

  6. Repita estos pasos para el segundo ámbito.