第 2章 SEAM 的計劃

安裝與維護 SEAM 的工作人員必須參閱本章。本章將探討在您安裝或設置 SEAM 之前，應該解決的數項安裝與設置方面的課題。

下列是一份清單，其中列出許多應由一位系統管理員或是其他有經驗的支援人員來解決的問題﹕

• "範疇"

• "將主機名稱對映至範疇"

• "客戶端及服務主管名稱"

• "從屬 KDC"

• "資料庫傳播"

• "時鐘同步化"

• "SEAM 事先設置程序"

SEAM 設置決定

在您安裝 SEAM 之前，必須先解決幾個有關設置方面的問題。雖然您也可以在初次安裝之後，再設法變更其設置，系統之上每新增一個新的客戶端，變更設置的困難度也就相對提高。此外，某些變更還需要完全的重新安裝才能生效，因此建議您最好先做好長期的計劃。

範疇

範疇是一種邏輯網路，就像領域一樣，可以在相同的主 KDC 之下定義一組系統。就如建立一個 DNS 領域名稱一樣，在您安裝 SEAM 之前，也必須解決有關範疇名稱、數目及每個範疇的大小、以及範疇之間的關係等等課題。

範疇名稱

範疇名稱可以是任何的 ASCII 字串。通常它和您大寫的 DNS 領域名稱相同。這樣一來，您就比較容易區分 SEAM 與 DNS 名稱空間兩者之間的問題，同時又使用非常相似的名稱。如果您不使用 DNS，或是想要使用一個不同的字串，也可以選擇任何字串來用，不過還是使用依照標準網際網路命名架構的範疇名稱來得好。

範疇的數目

您在安裝時所需的範疇數端視以下幾項因素而定﹕

• 要支援的客戶端數目。一個範疇中若有太多的客戶端，會比較難以管理，而且最終必須分割範疇。所支援的客戶端數目主要決定因素為﹕每個客戶端所生成的 SEAM 流量、實際網路的頻寬、以及主機的速度。因為每個安裝各有其不同的限制，所以也沒有既定的標準來決定客戶端的數目。

• 客戶端彼此相隔多遠。如果客戶端位於不同的地理範圍之內的話，設定幾個小型的範疇可能比較理想。

• 可以用來安裝為 KDC 的主機數目。每個範疇都應該至少有兩個 KDC 伺服器（分別是主及從屬 KDC）。

範疇階層

在您設置多個範疇時，必須決定應如何將這些範疇聯繫起來。您可以建立一個階層式的範疇關係，有自動的路徑至相關的領域；但是您必須正確地設置階層鏈中的所有範疇。自動路徑的好處在於減少管理上的負擔。不過如果領域有許多層級的話，最好不要使用預設的路徑以避免太多的資料交換。

您也可以選擇直接建立連線。在兩個階層式的領域中有許多層級，或者沒有階層關係時，直接連線就非常有用。您必須在 /etc/krb5/krb5.conf 中為使用連線的所有主機定義連線，所以需要多花點時間和精力。請參見 "範疇" 中有關 "設置跨範疇辯證" 設置多個範疇的介紹和程序說明。

將主機名稱對映至範疇

krb5.conf 檔案的 domain_realm 段落中會定義主機名稱至範疇名稱的對映。這些對映可以定義為適用於整個領域或是個別的主機，視需求而定。請參見 krb5.conf(4) 線上援助頁中的相關資訊。

客戶端及服務主管名稱

當您使用 SEAM 時，最好是已經設置並且在所有主機之上執行 DNS 服務。如果使用 DNS，必須在所有的系統之上將它啟用，或者就不能在任何一個系統上啟用。如果 DNS 可用的話，主管就應該包含完每個主機全符合條件的領域名稱 (FQDN)。舉例來說，如果主機名稱為 boston，DNS 領域名稱是 acme.com，而範疇名稱則是 ACME.COM 的話，那麼主機的主管名稱就應該是 host/boston.acme.com@ACME.COM。本書中的範例是以 FQDN 來作為每個主機的名稱。

就包括一個主機 FQDN 的主管名稱來說，必須注意符合 /etc/resolv.conf 中說明 DNS 領域名稱的字串。此字串是要區分大小寫的。SEAM 要求 DNS 領域名稱皆為小寫字母，所以在輸入主管的 FQDN 時，只能使用小寫字母。

SEAM 可以在沒有 DNS 服務的情況下執行，但是某些密鑰的功能，如與其他範疇通訊的功能就無法使用。如果沒有設置 DNS 的話，就可以利用一個簡單的主機名稱來作為實例名稱。這時主管就會是 host/boston@ACME.COM。如果後來才啟動 DNS 的話，就必須刪除並且取代 KDC 資料庫中的所有主機主管。

KDC 及管理服務的連接埠

根據預設，88 及 750 兩個連接埠是供 KDC 所用，而 749 這個連接埠則供 KDC 管理常駐程式使用。您也可以使用不同的連接埠編號，但是必須先變更每一個客戶端上的 /etc/services 及 /etc/krb5/krb5.conf 檔案之後，才能將它們變更。此外還必須更新每個 KDC 之上的 /etc/krb5/kdc.conf 檔案。

從屬 KDC

就像主 KDC 一樣，從屬 KDC 也會為客戶端生成證書。從屬 KDC 可以作為主 KDC 無法使用時的備份。每個範疇都應該有至少一個從屬 KDC。根據下列各種因素，有時候甚至還需要更多的從屬 KDC﹕

• 範疇中實際分段的數目。一般而言，網路的設定應該使每一個分段都至少能夠在沒有其餘範疇的情況下正常運作。要這麼做，就必須可以從每個分段來存取 KDC。此範例中的 KDC 可能是主或是從屬 KDC。

• 範疇中客戶端的數目 。新增更多的從屬 KDC 伺服器可以減少目前伺服器之上的負荷。

也有可能會新增太多的從屬 KDC。請記住，KDC 資料庫必須傳播至每個伺服器，所以安裝的 KDC 伺服器越多，更新整個範疇的資料時所花的時間也就越長。同時因為每個從屬都保留一份 KDC 資料庫副本，多出來的從屬就會增加安全上的顧慮。

此外，應該設置一或多個從屬 KDC 能輕易地與主 KDC 交換。在其中至少一個從屬 KDC 上利用此程序的好處是，如果主 KDC 不慎失敗，您已經事先設置好另一個系統，可以很快地改換為主 KDC。請參見 "調換主與從屬 KDC" 中有關如何設置一個可交換從屬 KDC 的說明。

資料庫傳播

主 KDC 之上所貯存的資料庫必須定期傳播至從屬 KDC。其中第一個要考慮的問題就是應該多常更新從屬 KDC。要衡量讓所有的客戶端隨時取得最新的即時資訊比較重要，還是要節省更新最新時所費的時間比較重要。請參見 "管理 Kerberos 資料庫" 中更多有關資料庫傳播的資訊。

在大型安裝時，一個範疇中會有許多的 KDC，所以可以一或多個從屬來傳播資料，以便讓此過程平行完成。這樣可以減少更新所花的時間，不過也會增加管理範疇時的複雜性。

時鐘同步化

Kerberos 辯證系統中的所有主機都必須將其內部時鐘同步化為一個特定的最長時間（即所謂的時鐘偏差時間)，以提供額外的 Kerberos 安全檢查。如果在任何參與主機當中出現時鐘偏差，執行的要求就會被拒。

要將所有時鐘同步化的一個方法是使用網路時間通訊協定 (NTP) 軟體（請參見 "同步化 KDC 及 SEAM 客戶端之間的時鐘" 更多資訊）。還有其他同步化時鐘的方法，所以您不必非要使用 NTP 不可。您應該使用某種形式的同步化以防止因時鐘偏差而導致無法存取。

SEAM 事先設置程序

SEAM 產品包括一個事先設置的程序，可以將資訊貯存在一個 NFS 伺服器之上，然後軟體安裝指令集便可以使用這些資訊。您可以任選是否要使用這些程序，但是我們極力建議您使用它們，因為這樣可以節省安裝過程所耗的時間，並且可以減少以手動輸入資料時發生的錯誤。