SEAM 客戶端包括網路上需要使用 SEAM 服務的任何主機,而非一個 KDC 伺服器。本節將提供您安裝 SEAM 客戶端的程序,以及有關使用 root 辯證來裝載 NFS 檔案系統的特定資訊。
必須使用下列的設置參數﹕
範疇名稱 = ACME.COM
DNS 領域名稱 = acme.com
主 KDC = kdc1.acme.com
從屬 KDC = kdc2.acme.com
客戶端 = client.acme.com
管理主管 = kws/admin
使用者主管 = mre
線上說明 URL = http://denver:8888/ab2/coll.384.1/SEAM/@AB2PageView/6956
如SEAM 安裝及發行注意事項中所述,將 URL 調整為指向“SEAM 管理工具”一節。
設置一個 SEAM 客戶端的先決條件。
必須安裝 SEAM 客戶端軟體。
編輯 Kerberos 設置檔案 (krb5.conf)。
如果您使用事先設置的程序,就不需要編輯此檔案,但您應該審閱其內容。 要從 SEAM 的預設版本來變更檔案,您必須變更範疇名稱及伺服器名稱,並且識別 gkadmin 說明檔案的路徑。
kdc1 # cat /etc/krb5/krb5.conf [libdefaults] default_realm = ACME.COM [realms] ACME.COM = { kdc = kdc1.acme.com kdc = kdc2.acme.com admin_server = kdc1.acme.com } [domain_realm] .acme.com = ACME.COM # # if the domain name and realm name are equivalent, # this entry is not needed # [logging] default = FILE:/var/krb5/kdc.log kdc = FILE:/var/krb5/kdc.log [appdefaults] gkadmin = { help_url = http://denver:8888/ab2/coll.384.1/SEAM/@AB2PageView/6956 |
可任選﹕使用 NTP 或另一個時鐘同步化機制來與主 KDC 的時鐘同步化。
請參見 "同步化 KDC 及 SEAM 客戶端之間的時鐘" 中有關 NTP 的詳細資訊。
可任選﹕如果沒有任何使用者主管的話便建立一位。
與此主機有關的使用者沒有一位相關的主管存在時,您才需要建立一位使用者主管。請參見 "如何建立一位新主管" 中有關使用 SEAM 管理工具的指示。指令行範例顯示如下﹕
client1 # /usr/krb5/sbin/kadmin -p kws/admin Enter password:<輸入 kws/admin 密碼> kadmin:addprinc mre Enter password for principal mre@ACME.COM: < 鍵入密碼> Re-enter password for principal mre@ACME.COM: < 再一次鍵入> kadmin: |
建立一位 root 主管。
kadmin: addprinc root/client1.acme.com Enter password for principal root/client1.acme.com@ACME.COM:< 鍵入密碼> Re-enter password for principal root/client1.acme.com@ACME.COM: < 再一次鍵入> kadmin: quit |
(選擇性的) 如果您想要 SEAM 客戶端上的一位使用者自動使用 Kerberos 辯證來裝載 Kerberos 化的 NFS 檔案系統的話,就必須辯證 root 使用者。
藉由 kinit 指令來安全地完成此過程;不過每一次使用者需要裝載一個由 Kerberos 所維護安全的檔案系統時,都必須使用 kinit 來作為 root。您也可以選擇要使用一個密鑰表檔案。請參見 "設定 Root 辯證以裝載 NFS 檔案系統" 中有關密鑰表要求條件的詳細資訊。
client1 # /usr/krb5/bin/kinit root/client1.acme.com Password for root/client1.acme.com@ACME.COM:<輸入密碼> |
要使用密鑰表檔案選項,請使用 kadmin 來將 root 主管新增至客戶端的密鑰表中﹕
client1 # /usr/krb5/sbin/kadmin -p kws/admin Enter password:<輸入 kws/admin 密碼> kadmin: ktadd root/client1.acme.com kadmin: Entry for principal root/client.acme.com with kvno 3, encryption type DES-CBC-CRC added to keytab WRFILE:/etc/krb5/krb5.keytab kadmin: quit |
如果您想要客戶端警告使用者有關 Kerberos 許可證截止時間,請在 /etc/krb5/warn.conf 檔案中建立一個項目。
請參見 warn.conf(4) 中的詳細資訊。
更新使用者的 shell 搜尋路徑來包括 SEAM 指令和線上援助頁的位置。
如果您是使用設置檔案來安裝 SEAM 軟體,並且選擇要自動更新 PATH 定義,您只需要變更 MANPATH 變數即可。如果您是使用 C shell 的話,請鍵入﹕
% set path=(/usr/krb5/bin $path) % set MANPATH=(/usr/krb5/man $MANPATH) |
要使您 shell 搜尋路徑的這些變更永久生效,請編輯您的 .cshrc 或 .login 啟動檔案。
如果您使用 Bourne 或 Korn shell,請鍵入﹕
$ PATH=/usr/krb5/bin:$PATH$ MANPATH=/usr/krb5/man:$MANPATH |
要使您 shell 搜尋路徑的這些變更永久生效,請編輯您的 .profile 啟動檔案。
如果使用者想要存取一個非 Kerberos 化的 NFS 檔案系統,不是將 NFS 檔案系統裝載為 root,就是在每次要存取時透過自動裝載器來自動存取檔案系統(不需要 root 權限)。
一個 Kerberos 化NFS 檔案系統的裝載沒有多大的差別,卻會產生一個額外的障礙。要裝載一個 Kerberos 化 NFS 檔案系統,使用者必須使用 kinit 指令來作為 root 的身份,以獲得客戶端 root 主管的證書,因為客戶端的 root 主管通常不在客戶端的密鑰表中。即使自動裝載器被設定也是如此。這不僅是額外的步驟,也迫使所有的使用者都知道其系統的 root 密碼及 root 主管的密碼。
要變通此種問題,您可以將一個客戶端的 root 主管新增至客戶端的密鑰表中,它會自動提供 root 的證書。雖然這會讓使用者在不執行 kinit 指令的情況下裝載 NFS 檔案系統,並且提高使用的容易度,卻也是一種安全上的顧慮。例如,若某人獲得 root 主管在其密鑰表中的一個系統存取權限,此人就有能力獲得 root 的證書。請確定您採取適當的安全措施。請參見 "管理密鑰表" 中的詳細資訊。