test

Sun Enterprise Authentication Mechanism 1.0.1 Handbuch

So richten Sie die hierarchische, bereichsübergreifende Authentisierung ein

Für dieses Beispiel verwenden wir zwei Bereiche, ENG.EAST.ACME.COM und EAST.ACME.COM. Die bereichsübergreifende Authentisierung wird in beide Richtungen eingerichtet. Dieses Verfahren muss in beiden Bereichen jeweils auf dem Master-KDC durchgeführt werden.

  1. Voraussetzung zur Einrichtung der hierarchischen bereichsübergreifenden Authentisierung

    Dieses Verfahren verlangt, dass das Master-KDC für jeden Bereich installiert ist. Um den Prozess vollständig testen zu können, müssen verschiedene Clients oder Slave-KDCs installiert sein.

  2. Melden Sie sich auf dem ersten Master-KDC als root an.

  3. Erstellen Sie mit kadmin Hauptbenutzer für den Ticket-Granting Ticket-Service in beiden Bereichen.

    Sie müssen sich mit einem der admin-Hauptbenutzernamen anmelden, die Sie beim Konfigurieren des Master-KDCs erstellt haben.


    # /usr/krb5/sbin/kadmin -p kws/admin
Passwort eingeben: 
<Eingabe des Passworts für kws/admin>
kadmin: addprinc krbtgt/ENG.EAST.ACME.COM@EAST.ACME.COM
Geben Sie das Passwort für Hauptbenutzer "krgtgt/ENG.EAST.ACME.COM@EAST.ACME.COM" ein:
<Eingabe des Passworts>
kadmin: addprinc krbtgt/EAST.ACME.COM@ENG.EAST.ACME.COM
Geben Sie das Passwort für Hauptbenutzer krgtgt/EAST.ACME.COM@EAST.ACME.COM ein: 
<Eingabe des Passworts>
kadmin: quit
    Hinweis -

    Das für jeden Dienst-Hauptbenutzer eingegebene Passwort muss in beiden KDCs identisch sein; das bedeutet, das Passwort für krbtgt/ENG.EAST.ACME.COM@EAST.ACME.COM muss in beiden Bereichen dasselbe sein.

  4. Fügen Sie Einträge zur Kerberos-Konfigurationsdatei hinzu, mit denen Sie Domain-Namen für jeden Bereich definieren können (krb5.conf).


    # cat /etc/krb5/krb5.conf
[libdefaults]
 .
 .
[domain_realm]
        .eng.east.acme.com = ENG.EAST.ACME.COM
        .east.acme.com = EAST.ACME.COM

    In diesem Beispiel werden die Domain-Namen für die Bereiche ENG.EAST.ACME.COM und EAST.ACME.COM definiert. Es ist wichtig, die Subdomain zuerst einzugeben, da die Datei von oben nach unten durchsucht wird.

  5. Kopieren Sie die Kerberos-Konfigurationsdatei auf alle Clients in diesem Bereich.

    Damit die bereichsübergreifende Authentisierung funktioniert, muss bei allen Systemen (einschließlich KDCs und andere Server) die neue Version der Kerberos-Konfigurationsdatei (/etc/krb5/krb5.conf) installiert sein.

  6. Wiederholen Sie diese Schritte im zweiten Bereich.