Sun 企業辯證機制使用指南

如何設置一個 SEAM 客戶端

必須使用下列的設置參數﹕

範疇名稱 = ACME.COM

DNS 領域名稱 = acme.com

主 KDC = kdc1.acme.com

從屬 KDC = kdc2.acme.com

客戶端 = client.acme.com

管理主管 = kws/admin

使用者主管 = mre

線上說明 URL = http://denver:8888/ab2/coll.384.1/SEAM/@AB2PageView/6956

註解 -

如SEAM 安裝及發行注意事項中所述，將 URL 調整為指向“SEAM 管理工具”一節。

設置一個 SEAM 客戶端的先決條件。

必須安裝 SEAM 客戶端軟體。

編輯 Kerberos 設置檔案 (krb5.conf)。

如果您使用事先設置的程序，就不需要編輯此檔案，但您應該審閱其內容。要從 SEAM 的預設版本來變更檔案，您必須變更範疇名稱及伺服器名稱，並且識別 gkadmin 說明檔案的路徑。

kdc1 # cat /etc/krb5/krb5.conf
[libdefaults]
        default_realm = ACME.COM

[realms]
                ACME.COM = {
                kdc = kdc1.acme.com
                kdc = kdc2.acme.com
                admin_server = kdc1.acme.com
        }

[domain_realm]
        .acme.com = ACME.COM
#
# if the domain name and realm name are equivalent, 
# this entry is not needed
#
[logging]
        default = FILE:/var/krb5/kdc.log
        kdc = FILE:/var/krb5/kdc.log

[appdefaults]
    gkadmin = {
        help_url = http://denver:8888/ab2/coll.384.1/SEAM/@AB2PageView/6956

可任選﹕使用 NTP 或另一個時鐘同步化機制來與主 KDC 的時鐘同步化。

請參見 "同步化 KDC 及 SEAM 客戶端之間的時鐘" 中有關 NTP 的詳細資訊。

可任選﹕如果沒有任何使用者主管的話便建立一位。

與此主機有關的使用者沒有一位相關的主管存在時，您才需要建立一位使用者主管。請參見 "如何建立一位新主管" 中有關使用 SEAM 管理工具的指示。指令行範例顯示如下﹕

client1 # /usr/krb5/sbin/kadmin -p kws/admin 
Enter password:<輸入 kws/admin 密碼> 
kadmin:addprinc mre
Enter password for principal mre@ACME.COM: < 鍵入密碼>
Re-enter password for principal mre@ACME.COM: < 再一次鍵入> 
kadmin:

建立一位 root 主管。

kadmin: addprinc root/client1.acme.com 
Enter password for principal root/client1.acme.com@ACME.COM:< 鍵入密碼>
Re-enter password for principal root/client1.acme.com@ACME.COM: < 再一次鍵入>
kadmin: quit

(選擇性的) 如果您想要 SEAM 客戶端上的一位使用者自動使用 Kerberos 辯證來裝載 Kerberos 化的 NFS 檔案系統的話，就必須辯證 root 使用者。

藉由 kinit 指令來安全地完成此過程；不過每一次使用者需要裝載一個由 Kerberos 所維護安全的檔案系統時，都必須使用 kinit 來作為 root。您也可以選擇要使用一個密鑰表檔案。請參見 "設定 Root 辯證以裝載 NFS 檔案系統" 中有關密鑰表要求條件的詳細資訊。

client1 # /usr/krb5/bin/kinit root/client1.acme.com 
Password for root/client1.acme.com@ACME.COM:<輸入密碼>

要使用密鑰表檔案選項，請使用 kadmin 來將 root 主管新增至客戶端的密鑰表中﹕

client1 # /usr/krb5/sbin/kadmin -p kws/admin 
Enter password:<輸入 kws/admin 密碼>
kadmin: ktadd root/client1.acme.com
kadmin: Entry for principal root/client.acme.com with   
kvno 3, encryption type DES-CBC-CRC added to keytab   
WRFILE:/etc/krb5/krb5.keytab
 kadmin: quit

如果您想要客戶端警告使用者有關 Kerberos 許可證截止時間，請在 /etc/krb5/warn.conf 檔案中建立一個項目。

請參見 warn.conf(4) 中的詳細資訊。

更新使用者的 shell 搜尋路徑來包括 SEAM 指令和線上援助頁的位置。

如果您是使用設置檔案來安裝 SEAM 軟體，並且選擇要自動更新 PATH 定義，您只需要變更 MANPATH 變數即可。如果您是使用 C shell 的話，請鍵入﹕
% set path=(/usr/krb5/bin $path) % set MANPATH=(/usr/krb5/man $MANPATH)
要使您 shell 搜尋路徑的這些變更永久生效，請編輯您的 .cshrc 或 .login 啟動檔案。

如果您使用 Bourne 或 Korn shell，請鍵入﹕
$ PATH=/usr/krb5/bin:$PATH$ MANPATH=/usr/krb5/man:$MANPATH
要使您 shell 搜尋路徑的這些變更永久生效，請編輯您的 .profile 啟動檔案。