Sun Enterprise Authentication Mechanism 1.0.1 Handbuch

So wird ein Slave-KDC konfiguriert

Es werden die folgenden Konfigurationsparameter verwendet:

Bereichsname = ACME.COM

DNS-Domainname = acme.com

Master-KDC = kdc1.acme.com

Slave-KDC = kdc2.acme.com

Client = client.acme.com

Admin-Hauptbenutzer = kws/admin

Benutzer-Hauptbenutzer = mre

Online-Hilfe-URL = http://stuttgart:8888/ab2/coll.384.1/SEAM/@AB2PageView/6956

Hinweis -

Passen Sie den URL so an, dass er auf den Abschnitt "SEAM Verwaltungstool" verweist, wie in den Hinweisen zur Installation und Version von SEAM beschrieben.

Voraussetzungen für die Konfiguration eines SEAM-Clients

Die SEAM Client-Software muss installiert sein.

Bearbeiten Sie die Kerberos-Konfigurationsdatei (krb5.conf).

Wenn Sie das Vorkonfigurationsverfahren angewendet haben, müssen Sie diese Datei nicht bearbeiten, sie sollten den Inhalt jedoch überprüfen. Um die SEAM-Standardversion der Datei zu ändern, müssen Sie die Bereichsnamen und die Servernamen ändern, wie auch den Pfad zu den Hilfedateien für gkadmin festlegen.

kdc1 # cat /etc/krb5/krb5.conf
[libdefaults]
        default_realm = ACME.COM

[realms]
                ACME.COM = {
                kdc = kdc1.acme.com
                kdc = kdc2.acme.com
                admin_server = kdc1.acme.com
        }

[domain_realm]
        .acme.com = ACME.COM
#
# Wenn Domainname und Bereichsname identisch sind,
# wird dieser Eintrag nicht benötigt
#
[logging]
        default = FILE:/var/krb5/kdc.log
        kdc = FILE:/var/krb5/kdc.log

[appdefaults]
  gkadmin = {
    help_url = http://stuttgart:8888/ab2/coll.384.1/SEAM/@AB2PageView/6956

Optional: Synchronisieren Sie mit der Systemuhr des Master-KDCs über NTP oder einen anderen Mechanismus für die Synchronisation der Uhrzeit.

Weitere Informationen finden Sie unter "Synchronisieren der Uhren zwischen KDCs und SEAM-Clients".

Optional: Erstellen Sie einen Benutzer-Hauptbenutzer, falls noch keiner existiert.

Sie müssen einen Benutzer-Hauptbenutzer nur dann erstellen, wenn der diesem Host zugeordnete Benutzer noch keinem Hauptbenutzer zugeordnet ist. Unter "Erstellen eines neuen Hauptbenutzers" sind Anweisungen zur Verwendung des SEAM-Verwaltungstools angegeben. Ein Befehlszeilen-Beispiel wird weiter unten gezeigt.

client1 # /usr/krb5/sbin/kadmin -p kws/admin
Passwort eingeben: <Eingabe des Passworts für kws/admin>
kadmin: addprinc mre
Passwort eingeben für Hauptbenutzer "mre@ACME.COM": <Eingabe des Passworts>
Passwort erneut eingeben für Hauptbenutzer "mre@ACME.COM": <Nochmalige Eingabe>
kadmin:

Erstellen Sie einen Root-Hauptbenutzer.

kadmin: addprinc root/client1.acme.com
Geben Sie das Passwort für Hauptbenutzer "root/client1.acme.com@ACME.COM" ein:
<Eingabe des Passworts>
Geben Sie das Passwort für Hauptbenutzer "root/client1.acme.com@ACME.COM" erneut ein:
<Nochmalige Eingabe>
kadmin: quit

(Optional) Wenn Sie möchten, dass ein Benutzer auf dem SEAM-Client automatisch kerberosfähige NFS-Dateisysteme mithilfe der Kerberos-Authentisierung einhängt, müssen Sie den Benutzer Root authentisieren.

Dieser Prozess wird am sichersten mit dem Befehl kinit durchgeführt; der Benutzer muss jedoch jedesmal, wenn er ein durch Kerberos gesichertes Dateisystem einhängen möchte, kinit als root anwenden. Sie können stattdessen auch eine Schlüsseltabellendatei verwenden. Ausführliche Informationen über die Anforderungen an Schlüsseltabellen erhalten Sie unter "Einrichten der Root-Authentisierung für das Einhängen von NFS-Dateisystemen".

client1 # /usr/bin/kinit root/client1.acme.com
Passwort für "root/client1.acme.com@ACME.COM": <Geben Sie das Passwort ein:

Um die Schlüsseltabellendatei-Option zu verwenden, fügen Sie den root-Hauptbenutzer zur Schlüsseltabelle des Clients mit kadmin hinzu:

client1 # /usr/krb5/sbin/kadmin -p kws/admin
Passwort eingeben: <Eingabe des Passworts für kws/admin>
kadmin: ktadd root/client1.acme.com
kadmin: Eintrag für "root/client.acme.com" mit
  kvno 3, Verschlüsselungstyp DES-CBC-CRC zur Schlüsseltabelle hinzugefügt
  WRFILE:/etc/krb5/krb5.keytab
kadmin: quit

Wenn Sie möchten, dass der Client die Benutzer vor Ablauf des Kerberos-Tickets warnt, erstellen Sie einen Eintrag in der Datei /etc/krb5/warn.conf.

Weitere Informationen finden Sie unter warn.conf(4).

Aktualisieren Sie den Suchpfad der Benutzershell, um den Speicherort der SEAM-Befehle und der Online-Dokumentation mit aufzunehmen.

Wenn Sie die SEAM-Software mithilfe der Konfigurationsdateien installiert und festgelegt haben, dass die Definition von PATH automatisch aktualisiert werden soll, dann brauchen Sie nur die Variable MANPATH zu ändern. Wenn Sie die C-Shell verwenden, geben Sie folgendes ein:
% set path=(/usr/krb5/bin $path) % set MANPATH=(/usr/krb5/man $MANPATH)
Damit sich diese Änderungen dauerhaft auf den Suchpfad Ihrer Shell auswirken, bearbeiten Sie die Startdatei .cshrc oder .login.

Wenn Sie die Bourne- oder Korn-Shell verwenden, geben Sie Folgendes ein:
$ PATH=/usr/krb5/bin:$PATH $ MANPATH=/usr/krb5/man:$MANPATH
Damit sich diese Änderungen dauerhaft auf den Suchpfad Ihrer Shell auswirken, bearbeiten Sie die Startdatei .profile.