test

Sun Enterprise Authentication Mechanism 1.0.1 Handbuch

So richten Sie die direkte bereichsübergreifende Authentisierung ein

Bei diesem Beispiel werden zwei Bereiche verwendet: ENG.EAST.ACME.COM und SALES.WEST.ACME.COM. Die bereichsübergreifende Authentisierung wird in beide Richtungen eingerichtet. Dieses Verfahren muss in beiden Bereichen jeweils auf dem Master-KDC durchgeführt werden.

  1. Voraussetzung zur Einrichtung der direkten bereichsübergreifenden Authentisierung.

    Dieses Verfahren verlangt, dass das Master-KDC für jeden Bereich installiert ist. Um den Prozess vollständig testen zu können, müssen verschiedene Clients oder Slave-KDCs installiert sein.

  2. Melden Sie sich als Superuser bei einem der Master-KDC-Server an.

  3. Erstellen Sie mit kadmin Hauptbenutzer für den Ticket-Granting-Ticket-Service in beiden Bereichen.

    Sie müssen sich mit einem der admin-Hauptbenutzernamen anmelden, die Sie beim Konfigurieren des Master-KDCs erstellt haben.


    # /usr/krb5/sbin/kadmin -p kws/admin
Passwort eingeben: <Eingabe des Passworts für kws/admin>
kadmin: addprinc krbtgt/ENG.EAST.ACME.COM@SALES.WEST.ACME.COM
Geben Sie das Passwort für Hauptbenutzer
  "krgtgt/ENG.EAST.ACME.COM@SALES.WEST.ACME.COM" ein: <Eingabe des Passworts>
kadmin: addprinc krbtgt/SALES.WEST.ACME.COM@ENG.EAST.ACME.COM
Geben Sie das Passwort für Hauptbenutzer
  "krgtgt/SALES.WEST.ACME.COM@ENG.EAST.ACME.COM" ein: <Eingabe des Passworts>
kadmin: quit
    Hinweis -

    Das für jeden Dienst-Hauptbenutzer eingegebene Passwort muss in beiden KDCs identisch sein; das bedeutet, das Passwort für krbtgt/ENG.EAST.ACME.COM@EAST.ACME.COM muss in beiden Bereichen dasselbe sein.

  4. Fügen Sie Einträge zur Kerberos-Konfigurationsdatei hinzu, mit denen Sie den direkten Pfad zum entfernten Bereich definieren (kdc.conf).

    Dieses Beispiel steht für die Clients im Bereich ENG.EAST.ACME.COM. Tauschen Sie die Bereichsnamen aus, um die entsprechende Definition im Bereich SALES.WEST.ACME.COM zu erhalten.


    # cat /etc/krb5/krb5.conf
[libdefaults]
 .
 .
[capaths]
    ENG.EAST.ACME.COM = {
        SALES.WEST.ACME.COM = .
    }

    SALES.WEST.ACME.COM = {
         ENG.EAST.ACME.COM = .
    }

  5. Kopieren Sie die Kerberos-Konfigurationsdatei auf alle Clients des jeweiligen Bereichs.

    Damit die bereichsübergreifende Authentisierung funktioniert, muss bei allen Systemen (einschließlich Slave-KDCs und andere Server) die neue Version der Kerberos-Konfigurationsdatei (krb5.conf) installiert sein.

  6. Wiederholen Sie diese Schritte für den zweiten Bereich.