Installation des systèmes Oracle® Solaris 11.2

Quitter la vue de l'impression

 
Mis à jour : Juillet 2014
 
 

Configuration des clients Kerberos à l'aide de l'AI

Au cours de cette procédure, le fichier keytab pour le client a déjà été créé et stocké sur le serveur AI. Dans les exemples, utilisez l'inscription automatique pour configurer les clients Kerberos à l'aide des informations d'identification préexistantes ou de nouvelles. Le processus d'inscription automatique est plus simple car vous ne devez pas encoder les fichiers keytab pour les clients individuels.

  1. Connectez-vous en tant qu'administrateur.

    Pour plus d'informations, reportez-vous à la section How to Use Your Assigned Administrative Rights in Oracle Solaris 11.2 Administration: Security Services.

  2. Créez un service d'installation, le cas échéant. 
    # installadm create-service -n krb-sparc \ 
    -d /export/auto_install/krb-sparc \ 
    -s /export/auto_install/iso/sol-11_2-ai-sparc.iso
Creating service from:
/export/auto_install/iso/sol-11_2-ai-sparc.iso 
Setting up the image ... 
Creating sparc service: krb-sparc 
Image path: /export/auto_install/krb-sparc 
Refreshing install services
  3. Associez des clients à un service.

    Répétez cette étape pour tous les clients devant être installés lorsque Kerberos est en cours d'exécution. Dans cet exemple, le client utilisant l'adresse de 11:11:11:11:11:11 est associé au service d'installation krb-sparc.

    # installadm create-client -n krb-sparc -e 11:11:11:11:11:11
Adding host entry for 11:11:11:11:11:11 to local DHCP configuration.
  4. Créez des informations d'identification pour les clients. 
    # installadm set-client -c 11:11:11:11:11:11 -g 
Generating credentials for client 11:11:11:11:11:11... 
A new certificate key has been generated. 
A new certificate has been generated.
  5. Créez un profil de configuration système qui définit le contenu du fichier de configuration Kerberos.

    Cet exemple crée un profil en exécutant la commande kclient de manière interactive. Vous pouvez également appeler la commande à l'aide des options de ligne de commande ou à l'aide d'un profil d'entrée. Pour plus d'informations, reportez-vous à la page de manuel kclient(1M).

    Dans cet exemple, le KDC est exécuté sur un serveur MIT. Pour consulter un exemple de sortie pour un KDC de Solaris, reportez-vous à Example 8–31. Pour consulter un exemple de sortie pour un client AD, reportez-vous à Example 8–33.

    # kclient -x /root/krb-sc.xml
Starting client setup
---------------------------------------------------
Is this a client of a non-Solaris KDC ? [y/n]: y
Which type of KDC is the server: 
       ms_ad: Microsoft Active Directory 
       mit: MIT KDC server 
       heimdal: Heimdal KDC server 
       shishi: Shishi KDC server 
Enter required KDC type: mit 
Do you want to use DNS for kerberos lookups ? [y/n]: n 
       No action performed. 
Enter the Kerberos realm: EXAMPLE.COM 
Specify the master KDCs for the above realm using a comma-separated list: kdc.example.com 
Do you have any slave KDC(s) ? [y/n]: y 
Enter a comma-separated list of slave KDC host names: kdc2.example.com 
Do you have multiple domains/hosts to map to a realm ? [y/n]: n
       No action performed.
Setting up /root/krb-sc.xml.
  6. (Facultatif) Convertissez un fichier keytab binaire d'un client en un profil XML.

    Cette étape n'est pas nécessaire s'il est possible d'obtenir les clés par le biais de l'inscription automatique si le client est sans clé. Le client doit avoir un fichier keytab créé, souvent réalisé par l'administrateur KDC lorsqu'un client est d'abord configuré.

    # kclient-kt2prof -k ./host1.keytab -p /root/host1.xml
  7. Créez des profils client pour configurer le reste des clients.

    Puisqu'un profil doit être utilisé dans cette procédure, configurez au mieux le client à l'aide de profils de configuration système.

  8. (Facultatif) Définissez la stratégie de sécurité pour les profils.

    Si les profils client comprennent un keytab, vous devez affecter la stratégie de sécurité require-client-auth au service de sorte que seuls les clients authentifiés puissent télécharger leur fichier keytab. 

    # installadm set-service -p require-client-auth -n krb-sparc
  9. Associez les profils client au service de client.

    Associez les profils pour le fichier de configuration Kerberos, le fichier keytab du client, et tout autre profil que vous avez créé au service d'installation.

    # installadm create-profile -n krb-sparc -f /root/krb-sc.xml 
Profile krb-sc.xml added to database. 
# installadm create-profile -n krb-sparc -f /root/host1.xml -c mac="11:11:11:11:11:11"
Profile host1.xml added to database.
  10. Initialisez le client pour démarrer le processus AI.
Exemple 8-31  Téléchargement des clés existantes lors du déploiement de clients Kerberos

Notez que seule l'utilisation de l'inscription automatique fonctionne si le KDC est soit Solaris KDC soit AD MS. Si le KDC est MIT, Heimdal ou Shishi, seul le transfert généré au préalable est possible.

Afin d'utiliser la fonction inscription automatique pour télécharger les clés existantes, vous devez d'abord avoir créé un principal admin sur le KDC avec les privilèges d'administration c et i. Dans cet exemple, le nom du principal est download/admin. Pour obtenir des instructions, reportez-vous au chapitre Création d’un principal Kerberos du manuel Gestion de Kerberos et d’autres services d’authentification dans Oracle Solaris 11.2 et au chapitreModification des privilèges d’administration Kerberos des principaux du manuel Gestion de Kerberos et d’autres services d’authentification dans Oracle Solaris 11.2 .

Dans cet exemple, le KDC exécute Oracle Solaris. De même, les clés pour le client ont déjà été créées.

Cet exemple indique comment ajouter le principal download/admin lorsque vous créez le profil de configuration système pour le fichier de configuration Kerberos. Le principal download/admin est un principal admin spécial qui est utilisé pour transférer les clés existantes du serveur KDC lorsque le client Kerberos est déployé.

# kclient -x /root/krb-sc.xml	
Starting client setup 
--------------------------------------------------- 
Is this a client of a non-Solaris KDC ? [y/n]: n 
        No action performed. 
Do you want to use DNS for kerberos lookups ? [y/n]: n 
        No action performed. 
Enter the Kerberos realm: EXAMPLE.COM 
Specify the master KDCs for the above realm using a comma-separated
list: kdc.example.com 
Do you have any slave KDC(s) ? [y/n]: y 
Enter a comma-separated list of slave KDC host names: kdc2.example.com 
Do you have multiple domains/hosts to map to realm  ? EXAMPLE.COM [y/n]: n
        No action performed.
Should the client automatically join the realm ? [y/n]: y
Enter the krb5 administrative principal to be used: download/admin
Password for download/admin: xxxxxxxx
Do you plan on doing Kerberized nfs ? [y/n]: n 
        No action performed.   
Is this client a member of a cluster that uses a logical host name ? [y/n]: n
        No action performed. 
Do you have multiple DNS domains spanning the Kerberos realm EXAMPLE.COM ? [y/n]: n
        No action performed.
Setting up /root/krb-sc.xml.
Exemple 8-32  Création de nouvelles clés lors du déploiement de clients Kerberos

Notez que seule l'utilisation de l'inscription automatique fonctionne si le KDC est soit Solaris KDC soit AD MS. Si le KDC est MIT, Heimdal ou Shishi, seul le transfert généré au préalable est possible.

Afin d'utiliser la fonction inscription automatique pour télécharger de nouvelles clés, vous devez d'abord avoir créé un principal admin sur le KDC avec les privilèges d'administration a, c et i. Dans cet exemple, le nom du principal est create/admin. Pour obtenir des instructions, reportez-vous au chapitre Création d’un principal Kerberos du manuel Gestion de Kerberos et d’autres services d’authentification dans Oracle Solaris 11.2 et au chapitreModification des privilèges d’administration Kerberos des principaux du manuel Gestion de Kerberos et d’autres services d’authentification dans Oracle Solaris 11.2 .

Dans cet exemple, le KDC exécute Oracle Solaris. Cet exemple ajoute le principal create/admin lorsque vous créez le profil de configuration système pour le fichier de configuration Kerberos. Le principal create/admin est un principal admin spécial qui est utilisé pour transférer les nouvelles clés du serveur KDC lorsque le client Kerberos est déployé. Cette commande comprend plus d'options de sorte le nombre de questions posées est moindre.

# kclient -x /root/krb-sc.xml -R EXAMPLE.COM -a create/admin -d none -m kdc.example.com	
Starting client setup 
--------------------------------------------------- 
Do you have multiple domains/hosts to map to realm  ? EXAMPLE.COM [y/n]: n
        No action performed.
Should the client automatically join the realm ? [y/n]: y
Password for create/admin: xxxxxxxx
Setting up /root/krb-sc.xml.
Exemple 8-33  Adhésion automatique d'un client AI à un domaine AD MS

Dans cet exemple, le client rejoint un domaine AD. Utilisez la commande suivante pour ajouter le principal Adminstrator lorsque vous créez le profil de configuration système pour le fichier de configuration Kerberos.

# kclient -x /root/krb-sc.xml	
Starting client setup 
--------------------------------------------------- 
Is this a client of a non-Solaris KDC ? [y/n]: y 
Which type of KDC is the server: 
        ms_ad: Microsoft Active Directory 
        mit: MIT KDC server 
        heimdal: Heimdal KDC server 
        shishi: Shishi KDC server 
Enter required KDC type: ms_ad 
Should the client automatically join AD domain ? [y/n]: y
Enter the Kerberos realm: EXAMPLE.COM 
Enter the krb5 administrative principal to be used: Administrator
Password for Administrator: xxxxxxxx
Setting up /root/krb-sc.xml.
Copyright © 2011, 2014, Oracle et/ou ses affiliés. Tous droits réservés. Mentions légales
Précédent
Suivant