test

Sun Enterprise Authentication Mechanism 1.0.1 Handbuch

Konfigurieren der bereichsübergreifenden Authentisierung

Sie haben mehrere Möglichkeiten, Bereiche miteinander zu verknüpfen, damit Benutzer aus einem Bereich in einem anderen Bereich authentisiert werden können. Normalerweise wird dies durch die Einrichtung eines Geheimschlüssels erreicht, der zwischen beiden Bereichen ausgetauscht wird. Die Beziehung zwischen Bereichen kann hierarchisch oder gerichtet sein (siehe "Bereichshierarchie").

So richten Sie die hierarchische, bereichsübergreifende Authentisierung ein

Für dieses Beispiel verwenden wir zwei Bereiche, ENG.EAST.ACME.COM und EAST.ACME.COM. Die bereichsübergreifende Authentisierung wird in beide Richtungen eingerichtet. Dieses Verfahren muss in beiden Bereichen jeweils auf dem Master-KDC durchgeführt werden.

  1. Voraussetzung zur Einrichtung der hierarchischen bereichsübergreifenden Authentisierung

    Dieses Verfahren verlangt, dass das Master-KDC für jeden Bereich installiert ist. Um den Prozess vollständig testen zu können, müssen verschiedene Clients oder Slave-KDCs installiert sein.

  2. Melden Sie sich auf dem ersten Master-KDC als root an.

  3. Erstellen Sie mit kadmin Hauptbenutzer für den Ticket-Granting Ticket-Service in beiden Bereichen.

    Sie müssen sich mit einem der admin-Hauptbenutzernamen anmelden, die Sie beim Konfigurieren des Master-KDCs erstellt haben.


    # /usr/krb5/sbin/kadmin -p kws/admin
Passwort eingeben: 
<Eingabe des Passworts für kws/admin>
kadmin: addprinc krbtgt/ENG.EAST.ACME.COM@EAST.ACME.COM
Geben Sie das Passwort für Hauptbenutzer "krgtgt/ENG.EAST.ACME.COM@EAST.ACME.COM" ein:
<Eingabe des Passworts>
kadmin: addprinc krbtgt/EAST.ACME.COM@ENG.EAST.ACME.COM
Geben Sie das Passwort für Hauptbenutzer krgtgt/EAST.ACME.COM@EAST.ACME.COM ein: 
<Eingabe des Passworts>
kadmin: quit
    Hinweis -

    Das für jeden Dienst-Hauptbenutzer eingegebene Passwort muss in beiden KDCs identisch sein; das bedeutet, das Passwort für krbtgt/ENG.EAST.ACME.COM@EAST.ACME.COM muss in beiden Bereichen dasselbe sein.

  4. Fügen Sie Einträge zur Kerberos-Konfigurationsdatei hinzu, mit denen Sie Domain-Namen für jeden Bereich definieren können (krb5.conf).


    # cat /etc/krb5/krb5.conf
[libdefaults]
 .
 .
[domain_realm]
        .eng.east.acme.com = ENG.EAST.ACME.COM
        .east.acme.com = EAST.ACME.COM

    In diesem Beispiel werden die Domain-Namen für die Bereiche ENG.EAST.ACME.COM und EAST.ACME.COM definiert. Es ist wichtig, die Subdomain zuerst einzugeben, da die Datei von oben nach unten durchsucht wird.

  5. Kopieren Sie die Kerberos-Konfigurationsdatei auf alle Clients in diesem Bereich.

    Damit die bereichsübergreifende Authentisierung funktioniert, muss bei allen Systemen (einschließlich KDCs und andere Server) die neue Version der Kerberos-Konfigurationsdatei (/etc/krb5/krb5.conf) installiert sein.

  6. Wiederholen Sie diese Schritte im zweiten Bereich.

So richten Sie die direkte bereichsübergreifende Authentisierung ein

Bei diesem Beispiel werden zwei Bereiche verwendet: ENG.EAST.ACME.COM und SALES.WEST.ACME.COM. Die bereichsübergreifende Authentisierung wird in beide Richtungen eingerichtet. Dieses Verfahren muss in beiden Bereichen jeweils auf dem Master-KDC durchgeführt werden.

  1. Voraussetzung zur Einrichtung der direkten bereichsübergreifenden Authentisierung.

    Dieses Verfahren verlangt, dass das Master-KDC für jeden Bereich installiert ist. Um den Prozess vollständig testen zu können, müssen verschiedene Clients oder Slave-KDCs installiert sein.

  2. Melden Sie sich als Superuser bei einem der Master-KDC-Server an.

  3. Erstellen Sie mit kadmin Hauptbenutzer für den Ticket-Granting-Ticket-Service in beiden Bereichen.

    Sie müssen sich mit einem der admin-Hauptbenutzernamen anmelden, die Sie beim Konfigurieren des Master-KDCs erstellt haben.


    # /usr/krb5/sbin/kadmin -p kws/admin
Passwort eingeben: <Eingabe des Passworts für kws/admin>
kadmin: addprinc krbtgt/ENG.EAST.ACME.COM@SALES.WEST.ACME.COM
Geben Sie das Passwort für Hauptbenutzer
  "krgtgt/ENG.EAST.ACME.COM@SALES.WEST.ACME.COM" ein: <Eingabe des Passworts>
kadmin: addprinc krbtgt/SALES.WEST.ACME.COM@ENG.EAST.ACME.COM
Geben Sie das Passwort für Hauptbenutzer
  "krgtgt/SALES.WEST.ACME.COM@ENG.EAST.ACME.COM" ein: <Eingabe des Passworts>
kadmin: quit
    Hinweis -

    Das für jeden Dienst-Hauptbenutzer eingegebene Passwort muss in beiden KDCs identisch sein; das bedeutet, das Passwort für krbtgt/ENG.EAST.ACME.COM@EAST.ACME.COM muss in beiden Bereichen dasselbe sein.

  4. Fügen Sie Einträge zur Kerberos-Konfigurationsdatei hinzu, mit denen Sie den direkten Pfad zum entfernten Bereich definieren (kdc.conf).

    Dieses Beispiel steht für die Clients im Bereich ENG.EAST.ACME.COM. Tauschen Sie die Bereichsnamen aus, um die entsprechende Definition im Bereich SALES.WEST.ACME.COM zu erhalten.


    # cat /etc/krb5/krb5.conf
[libdefaults]
 .
 .
[capaths]
    ENG.EAST.ACME.COM = {
        SALES.WEST.ACME.COM = .
    }

    SALES.WEST.ACME.COM = {
         ENG.EAST.ACME.COM = .
    }

  5. Kopieren Sie die Kerberos-Konfigurationsdatei auf alle Clients des jeweiligen Bereichs.

    Damit die bereichsübergreifende Authentisierung funktioniert, muss bei allen Systemen (einschließlich Slave-KDCs und andere Server) die neue Version der Kerberos-Konfigurationsdatei (krb5.conf) installiert sein.

  6. Wiederholen Sie diese Schritte für den zweiten Bereich.