Sun 企业鉴别机制指南

配置 SEAM 客户机

SEAM 客户机包括网络上需要使用 SEAM 服务的任何主机， KDC 服务器除外。本节提供有一个用于安装 SEAM 客户机的过程，以及关于使用 root 鉴别来装配 NFS 文件系统的具体的信息。

如何配置一个 SEAM 客户机

使用下列配置参数 :

区域名 = ACME.COM

DNS 域名 = acme.com

主 KDC = kdc1.acme.com

从 KDC = kdc2.acme.com

客户机 = client.acme.com

admin 授权对象 = kws/admin

用户授权对象 = mre

联机帮助 URL = http://denver:8888/ab2/coll.384.1/SEAM/@AB2PageView/6956

注意：

调节 URL，使其指向 "SEAM 管理工具" 一节，正如 SEAM 安装和发行说明中所描述的情形。

配置一个 SEAM 客户机的先决条件。

SEAM 客户机软件必须得到安装。

编辑 Kerberos 配置文件 (krb5.conf)。

如果您使用过预配置过程，则您就不需要编辑该文件，但是您应当审查其内容。如要从 SEAM 默认的版本更改文件，您必须更改区域名和服务器的名称，以及标识到 gkadmin 的帮助文件的路径。

kdc1 # cat /etc/krb5/krb5.conf
[libdefaults]
        default_realm = ACME.COM

[realms]
                ACME.COM = {
                kdc = kdc1.acme.com
                kdc = kdc2.acme.com
                admin_server = kdc1.acme.com
        }

[domain_realm]
        .acme.com = ACME.COM
#
# if the domain name and realm name are equivalent, 
# this entry is not needed
#
[logging]
        default = FILE:/var/krb5/kdc.log
        kdc = FILE:/var/krb5/kdc.log

[appdefaults]
    gkadmin = {
        help_url = http://denver:8888/ab2/coll.384.1/SEAM/@AB2PageView/6956

可选: 使用 NTP 或另一时钟同步机制来与主 KDC 的时钟同步。

请参见 "使 KDC 和 SEAM 客户机之间时钟同步"，了解关于 NTP 的信息。

可选: 创建一个用户授权对象，如果其尚未存在的话。

您只需要创建一个用户授权对象，如果与该主机相关联的用户尚未分派一个授权对象的话。请参见 "如何创建一个新的授权对象"，了解使用 SEAM 管理工具的操作指示。命令行示例显示如下。

client1 # /usr/krb5/sbin/kadmin -p kws/admin
录入口令: <录入 kws/admin 口令>
kadmin: addprinc mre
录入授权对象 mre@ACME.COM 的口令: <键入口令>
重新录入授权对象 mre@ACME.COM 的口令: <再次将其键入>
kadmin:

创建一个 root 授权对象。

kadmin: addprinc root/client1.acme.com
录入授权对象 root/client1.acme.com@ACME.COM 的口令: <键入口令>
重新录入授权对象 root/client1.acme.com@ACME.COM 的口令: <再次将其键入>
kadmin: 退出

(可选的) 如果您想要 SEAM 客户机上的一个用户自动使用 Kerberos 鉴别来装配 Kerberized NFS 文件系统，您就必须鉴别 root 用户。

该进程通过使用 kinit 命令来进行最为安全；然而，用户每当需要装配一个由 Kerberos 提供安全保障的文件系统时，就需要作为 root 使用 kinit。您可以换用一个密钥表文件。请参见 "设置 Root 鉴别来装配 NFS 文件系统"，了解关于密钥表要求的详细的信息。

client1 # /usr/krb5/bin/kinit root/client1.acme.com
root/client1.acme.com@ACME.COM 的口令: <录入口令>

如要使用密钥表文件选项，请使用 kadmin，将root 授权对象添加到客户机的密钥表:

client1 # /usr/krb5/sbin/kadmin -p kws/admin
录入口令: <录入 kws/admin 口令>
kadmin: ktadd root/client1.acme.com
kadmin: 授权对象 root/client。acme.com 的条目，
 kvno 为 3，加密类型为 DES-CBC-CRC 被添加到密钥表  
 WRFILE:/etc/krb5/krb5.keytab 
kadmin: 退出

如果您想要客户机就 Kerberos 票券到期警告用户，则请在 /etc/krb5/warn.conf 文件中创建一个条目。

请参见 warn.conf(4)，了解更多的信息。

更新用户的外壳搜索路径，使其包括 SEAM 命令和手册页的位置。

如果您已使用配置文件安装有 SEAM 软件，并选择自动更新 PATH定义，您只需更改 MANPATH 变量。如果您使用 C 外壳，则请键入:
% set path=(/usr/krb5/bin $path) % set MANPATH=(/usr/krb5/man $MANPATH)
如要永久地保持这些对您的外壳搜索路径所进行的变更，就请编辑您的 .cshrc 或 .login 启动文件。

如果您使用 Bourne 或 Korn 外壳，则请键入:
$ PATH=/usr/krb5/bin:$PATH $ MANPATH=/usr/krb5/man:$MANPATH
如要永久地保持这些对您的外壳搜索路径进行的变更，就请编辑您的 .profile 启动文件。

设置 Root 鉴别来装配 NFS 文件系统

如果用户想要访问一个非 Kerberized NFS 的文件系统，或者 NFS 文件系统可以被装配为 root，或者每当访问时，就可以通过自动装配器，自动访问文件系统 (无需 root 许可)。

装配一个 Kerberized NFS 文件系统十分相同，但是其确实招致了的一个附加障碍。如要装配一个 Kerberized NFS 文件系统，用户必须作为 root 使用 kinit 命令，以为客户机的root 授权对象获得资格，因为一个客户机的 root 授权对象通常不在客户机的密钥表中。即使是在自动装配器得到设置时也是这样。这不但是一个额外的步骤，而且强迫所有用户知晓其系统的root 口令和 root 授权对象的口令。

如要绕过这一步骤，您可以将一个客户机的 root 授权对象添加到客户机的密钥表，从而自动为 root 提供资格。尽管这使得用户不运行 kinit 命令就可以装配 NFS 文件系统且增强了使用上的便利，但却是一个安全隐患。例如，如果某人借助其密钥表中的 root 授权对象取得对一个系统的访问，则此人就拥有为 root 获得资格的能力。因此请确保您采取适当的安全防范措施。请参见 "管理密钥表"，了解更多的信息。