Sun 企業辯證機制使用指南

設置 SEAM 客戶端

SEAM 客戶端包括網路上需要使用 SEAM 服務的任何主機，而非一個 KDC 伺服器。本節將提供您安裝 SEAM 客戶端的程序，以及有關使用 root 辯證來裝載 NFS 檔案系統的特定資訊。

如何設置一個 SEAM 客戶端

必須使用下列的設置參數﹕

範疇名稱 = ACME.COM

DNS 領域名稱 = acme.com

主 KDC = kdc1.acme.com

從屬 KDC = kdc2.acme.com

客戶端 = client.acme.com

管理主管 = kws/admin

使用者主管 = mre

線上說明 URL = http://denver:8888/ab2/coll.384.1/SEAM/@AB2PageView/6956

註解 -

如SEAM 安裝及發行注意事項中所述，將 URL 調整為指向“SEAM 管理工具”一節。

設置一個 SEAM 客戶端的先決條件。

必須安裝 SEAM 客戶端軟體。

編輯 Kerberos 設置檔案 (krb5.conf)。

如果您使用事先設置的程序，就不需要編輯此檔案，但您應該審閱其內容。要從 SEAM 的預設版本來變更檔案，您必須變更範疇名稱及伺服器名稱，並且識別 gkadmin 說明檔案的路徑。

kdc1 # cat /etc/krb5/krb5.conf
[libdefaults]
        default_realm = ACME.COM

[realms]
                ACME.COM = {
                kdc = kdc1.acme.com
                kdc = kdc2.acme.com
                admin_server = kdc1.acme.com
        }

[domain_realm]
        .acme.com = ACME.COM
#
# if the domain name and realm name are equivalent, 
# this entry is not needed
#
[logging]
        default = FILE:/var/krb5/kdc.log
        kdc = FILE:/var/krb5/kdc.log

[appdefaults]
    gkadmin = {
        help_url = http://denver:8888/ab2/coll.384.1/SEAM/@AB2PageView/6956

可任選﹕使用 NTP 或另一個時鐘同步化機制來與主 KDC 的時鐘同步化。

請參見 "同步化 KDC 及 SEAM 客戶端之間的時鐘" 中有關 NTP 的詳細資訊。

可任選﹕如果沒有任何使用者主管的話便建立一位。

與此主機有關的使用者沒有一位相關的主管存在時，您才需要建立一位使用者主管。請參見 "如何建立一位新主管" 中有關使用 SEAM 管理工具的指示。指令行範例顯示如下﹕

client1 # /usr/krb5/sbin/kadmin -p kws/admin 
Enter password:<輸入 kws/admin 密碼> 
kadmin:addprinc mre
Enter password for principal mre@ACME.COM: < 鍵入密碼>
Re-enter password for principal mre@ACME.COM: < 再一次鍵入> 
kadmin:

建立一位 root 主管。

kadmin: addprinc root/client1.acme.com 
Enter password for principal root/client1.acme.com@ACME.COM:< 鍵入密碼>
Re-enter password for principal root/client1.acme.com@ACME.COM: < 再一次鍵入>
kadmin: quit

(選擇性的) 如果您想要 SEAM 客戶端上的一位使用者自動使用 Kerberos 辯證來裝載 Kerberos 化的 NFS 檔案系統的話，就必須辯證 root 使用者。

藉由 kinit 指令來安全地完成此過程；不過每一次使用者需要裝載一個由 Kerberos 所維護安全的檔案系統時，都必須使用 kinit 來作為 root。您也可以選擇要使用一個密鑰表檔案。請參見 "設定 Root 辯證以裝載 NFS 檔案系統" 中有關密鑰表要求條件的詳細資訊。

client1 # /usr/krb5/bin/kinit root/client1.acme.com 
Password for root/client1.acme.com@ACME.COM:<輸入密碼>

要使用密鑰表檔案選項，請使用 kadmin 來將 root 主管新增至客戶端的密鑰表中﹕

client1 # /usr/krb5/sbin/kadmin -p kws/admin 
Enter password:<輸入 kws/admin 密碼>
kadmin: ktadd root/client1.acme.com
kadmin: Entry for principal root/client.acme.com with   
kvno 3, encryption type DES-CBC-CRC added to keytab   
WRFILE:/etc/krb5/krb5.keytab
 kadmin: quit

如果您想要客戶端警告使用者有關 Kerberos 許可證截止時間，請在 /etc/krb5/warn.conf 檔案中建立一個項目。

請參見 warn.conf(4) 中的詳細資訊。

更新使用者的 shell 搜尋路徑來包括 SEAM 指令和線上援助頁的位置。

如果您是使用設置檔案來安裝 SEAM 軟體，並且選擇要自動更新 PATH 定義，您只需要變更 MANPATH 變數即可。如果您是使用 C shell 的話，請鍵入﹕
% set path=(/usr/krb5/bin $path) % set MANPATH=(/usr/krb5/man $MANPATH)
要使您 shell 搜尋路徑的這些變更永久生效，請編輯您的 .cshrc 或 .login 啟動檔案。

如果您使用 Bourne 或 Korn shell，請鍵入﹕
$ PATH=/usr/krb5/bin:$PATH$ MANPATH=/usr/krb5/man:$MANPATH
要使您 shell 搜尋路徑的這些變更永久生效，請編輯您的 .profile 啟動檔案。

設定 Root 辯證以裝載 NFS 檔案系統

如果使用者想要存取一個非 Kerberos 化的 NFS 檔案系統，不是將 NFS 檔案系統裝載為 root，就是在每次要存取時透過自動裝載器來自動存取檔案系統（不需要 root 權限）。

一個 Kerberos 化NFS 檔案系統的裝載沒有多大的差別，卻會產生一個額外的障礙。要裝載一個 Kerberos 化 NFS 檔案系統，使用者必須使用 kinit 指令來作為 root 的身份，以獲得客戶端 root 主管的證書，因為客戶端的 root 主管通常不在客戶端的密鑰表中。即使自動裝載器被設定也是如此。這不僅是額外的步驟，也迫使所有的使用者都知道其系統的 root 密碼及 root 主管的密碼。

要變通此種問題，您可以將一個客戶端的 root 主管新增至客戶端的密鑰表中，它會自動提供 root 的證書。雖然這會讓使用者在不執行 kinit 指令的情況下裝載 NFS 檔案系統，並且提高使用的容易度，卻也是一種安全上的顧慮。例如，若某人獲得 root 主管在其密鑰表中的一個系統存取權限，此人就有能力獲得 root 的證書。請確定您採取適當的安全措施。請參見 "管理密鑰表" 中的詳細資訊。