test

Sun 企业鉴别机制指南

如何配置一个 SEAM 客户机

使用下列配置参数 :

  1. 配置一个 SEAM 客户机的先决条件。

    SEAM 客户机软件必须得到安装。

  2. 编辑 Kerberos 配置文件 (krb5.conf)。

    如果您使用过预配置过程,则您就不需要编辑该文件,但是您应当审查其内容。 如要从 SEAM 默认的版本更改文件,您必须更改区域名和服务器的名称,以及标识到 gkadmin 的帮助文件的路径。


    kdc1 # cat /etc/krb5/krb5.conf
[libdefaults]
        default_realm = ACME.COM

[realms]
                ACME.COM = {
                kdc = kdc1.acme.com
                kdc = kdc2.acme.com
                admin_server = kdc1.acme.com
        }

[domain_realm]
        .acme.com = ACME.COM
#
# if the domain name and realm name are equivalent, 
# this entry is not needed
#
[logging]
        default = FILE:/var/krb5/kdc.log
        kdc = FILE:/var/krb5/kdc.log

[appdefaults]
    gkadmin = {
        help_url = http://denver:8888/ab2/coll.384.1/SEAM/@AB2PageView/6956

  3. 可选: 使用 NTP 或另一时钟同步机制来与主 KDC 的时钟同步。

    请参见 "使 KDC 和 SEAM 客户机之间时钟同步",了解关于 NTP 的信息。

  4. 可选: 创建一个用户授权对象,如果其尚未存在的话。

    您只需要创建一个用户授权对象,如果与该主机相关联的用户尚未分派一个授权对象的话。请参见 "如何创建一个新的授权对象",了解使用 SEAM 管理工具的操作指示。命令行示例显示如下。


    client1 # /usr/krb5/sbin/kadmin -p kws/admin
录入口令: <录入 kws/admin 口令>
kadmin: addprinc mre
录入授权对象 mre@ACME.COM 的口令: <键入口令>
重新录入授权对象 mre@ACME.COM 的口令: <再次将其键入>
kadmin:

  5. 创建一个 root 授权对象。


    kadmin: addprinc root/client1.acme.com
录入授权对象 root/client1.acme.com@ACME.COM 的口令: <键入口令>
重新录入授权对象 root/client1.acme.com@ACME.COM 的口令: <再次将其键入>
kadmin: 退出

  6. (可选的) 如果您想要 SEAM 客户机上的一个用户自动使用 Kerberos 鉴别来装配 Kerberized NFS 文件系统,您就必须鉴别 root 用户。

    该进程通过使用 kinit 命令来进行最为安全;然而,用户每当需要装配一个由 Kerberos 提供安全保障的文件系统时,就需要作为 root 使用 kinit。您可以换用一个密钥表文件。请参见 "设置 Root 鉴别来装配 NFS 文件系统",了解关于密钥表要求的详细的信息。 


    client1 # /usr/krb5/bin/kinit root/client1.acme.com
root/client1.acme.com@ACME.COM 的口令: <录入口令>

    如要使用密钥表文件选项,请使用 kadmin,将root 授权对象添加到客户机的密钥表:


    client1 # /usr/krb5/sbin/kadmin -p kws/admin
录入口令: <录入 kws/admin 口令>
kadmin: ktadd root/client1.acme.com
kadmin: 授权对象 root/client。acme.com 的条目,
 kvno 为 3,加密类型为 DES-CBC-CRC 被添加到密钥表  
 WRFILE:/etc/krb5/krb5.keytab 
kadmin: 退出

  7. 如果您想要客户机就 Kerberos 票券到期警告用户,则请在 /etc/krb5/warn.conf 文件中创建一个条目。

    请参见 warn.conf(4),了解更多的信息。

  8. 更新用户的外壳搜索路径,使其包括 SEAM 命令和手册页的位置。

    如果您已使用配置文件安装有 SEAM 软件,并选择自动更新 PATH定义,您只需更改 MANPATH 变量。如果您使用 C 外壳,则请键入:


    % set path=(/usr/krb5/bin $path)
% set MANPATH=(/usr/krb5/man $MANPATH)

    如要永久地保持这些对您的外壳搜索路径所进行的变更,就请编辑您的 .cshrc.login 启动文件。

    如果您使用 Bourne 或 Korn 外壳,则请键入:


    $ PATH=/usr/krb5/bin:$PATH
$ MANPATH=/usr/krb5/man:$MANPATH

    如要永久地保持这些对您的外壳搜索路径进行的变更,就请编辑您的 .profile 启动文件。