Etablissement de l'authentification inter-domaine directe - Gestion de Kerberos et d'autres services d'authentification dans Oracle® Solaris 11.2

Gestion de Kerberos et d'autres services d'authentification dans Oracle^® Solaris 11.2

Quitter la vue de l'impression

» ...Documentation Home » Gestion de Kerberos et d'autres services ... » Configuration du service Kerberos » Configuration de l'authentification inter-domaine » Etablissement de l'authentification ...

Mis à jour : Septembre 2014

Gestion de Kerberos et d'autres services d'authentification dans Oracle^® Solaris 11.2

Informations sur le document

Utilisation de la présente documentation

Chapitre 1 Utilisation de modules d'authentification enfichables

Chapitre 2 A propos du service Kerberos

Chapitre 3 Planification du service Kerberos

Chapitre 4 Configuration du service Kerberos

Configuration du service Kerberos

Configuration de services Kerberos supplémentaires

Configuration des serveurs KDC

Installation du package KDC

Configuration de Kerberos afin qu'il s'exécute en mode FIPS 140

Utilisation de kdcmgr pour configurer le KDC maître

Utilisation de kdcmgr pour configurer un KDC esclave

Configuration manuelle d'un KDC maître

Configuration manuelle d'un KDC esclave

Configuration du KDC maître pour utiliser un serveur d'annuaires LDAP

Remplacement des clés TGS sur un serveur maître

Gestion d'un KDC sur un serveur d'annuaire LDAP

Association des attributs de principaux Kerberos dans un type de classe d'objet non Kerberos

Suppression d'un domaine d'un serveur d'annuaire LDAP

Configuration des clients Kerberos

Création d'un profil d'installation de client Kerberos

Configuration automatique d'un client Kerberos

Configuration interactive d'un client Kerberos

Connexion d'un client Kerberos à un serveur Active Directory

Configuration manuelle d'un client Kerberos

Désactivation de la vérification du ticket d'octroi de tickets

Accès à un système de fichiers NFS protégé par Kerberos en tant qu'utilisateur root

Configuration de la migration automatique des utilisateurs dans un domaine Kerberos

Renouvellement automatique de tous les tickets d'octroi de tickets

Configuration des serveurs d'application réseau Kerberos

Configuration d'un serveur d'application réseau Kerberos

Utilisation du service de sécurité générique avec Kerberos lors de l'exécution FTP

Configuration de serveurs NFS Kerberos

Configuration des serveurs NFS Kerberos

Création et modification d'une table d'informations d'identification

Mappage d'informations d'identification entre domaines

Configuration d'un environnement NFS sécurisé avec plusieurs modes de sécurité Kerberos

Configuration de l'exécution retardée pour l'accès aux services Kerberos

Configuration d'un hôte cron pour l'accès aux services Kerberos

Configuration de l'authentification inter-domaine

Etablissement de l'authentification inter-domaine hiérarchique

Etablissement de l'authentification inter-domaine directe

Synchronisation des horloges entre les KDC et les clients Kerberos

Echange d'un KDC maître et d'un KDC esclave

Configuration d'un KDC échangeable

Echange d'un KDC maître et d'un KDC esclave

Administration de la base de données Kerberos

Sauvegarde et propagation de la base de données Kerberos

Restauration d'une sauvegarde de la base de données Kerberos

Conversion d'une base de données Kerberos après une mise à niveau du serveur

Reconfiguration d'un KDC maître pour l'utilisation de la propagation incrémentielle

Reconfiguration d'un KDC esclave pour l'utilisation de la propagation incrémentielle

Vérification de la synchronisation des serveurs KDC

Propagation manuelle de la base de données Kerberos aux KDC esclaves

Configuration de la propagation parallèle pour Kerberos

Etapes de configuration d'une propagation parallèle

Administration du fichier stash pour la base de données Kerberos

Création, utilisation et stockage d'une nouvelle clé maître pour la base de données Kerberos

Renforcement de la sécurité des serveurs Kerberos

Restriction de l'accès aux serveurs KDC

Utilisation d'un fichier dictionnaire pour augmenter la sécurité de mot de passe

Chapitre 5 Administration des principaux et des stratégies Kerberos

Chapitre 6 Utilisation des applications Kerberos

Chapitre 7 Référence de service Kerberos

Chapitre 8 Messages d'erreur et dépannage de Kerberos

Chapitre 9 Utilisation de l'authentification simple et de la couche de sécurité

Chapitre 10 Configuration des services réseau d'authentification

Annexe A Sondes DTrace pour Kerberos

Glossaire de la sécurité

Langue :

Etablissement de l'authentification inter-domaine directe

L'exemple de cette procédure utilise deux domaines, CORP.EAST.EXAMPLE.COM et SALES.WEST.EXAMPLE.COM. L'authentification inter-domaine est établie dans les deux directions. Cette procédure doit être effectuée sur le KDC maître dans les deux domaines.

Avant de commencer

Le KDC maître de chaque domaine est configuré. Pour tester l'ensemble du processus d'authentification, vous avez besoin de plusieurs clients.

Vous devez prendre le rôle root sur les deux serveurs KDC. Pour plus d'informations, reportez-vous à la section A l’aide de vos droits administratifs attribués du manuel Sécurisation des utilisateurs et des processus dans Oracle Solaris 11.2 .

Créez des principaux de service de TGT pour les deux domaines.

Vous devez vous connecter à l'aide de l'un des noms de principal admin que vous avez créé lorsque vous avez configuré le KDC maître.

# /usr/sbin/kadmin -p kws/admin
Enter password: xxxxxxxx
kadmin: addprinc krbtgt/CORP.EAST.EXAMPLE.COM@SALES.WEST.EXAMPLE.COM
Enter password for principal
krbtgt/CORP.EAST.EXAMPLE.COM@SALES.WEST.EXAMPLE.COM:/** Type strong password **/
kadmin: addprinc krbtgt/SALES.WEST.EXAMPLE.COM@CORP.EAST.EXAMPLE.COM
Enter password for principal
krbtgt/SALES.WEST.EXAMPLE.COM@CORP.EAST.EXAMPLE.COM:/** Type strong password **/
kadmin: quit

Ajoutez des entrées dans le fichier de configuration Kerberos pour définir le chemin d'accès direct au domaine distant.
Cet exemple représente les clients dans le domaine CORP.EAST.EXAMPLE.COM. Pour ajouter les définitions adéquates dans le domaine SALES.WEST.EXAMPLE.COM, changez les noms de domaine.
```
# pfedit /etc/krb5/krb5.conf
[libdefaults]
.
.
[capaths]
CORP.EAST.EXAMPLE.COM = {
SALES.WEST.EXAMPLE.COM = .
}

SALES.WEST.EXAMPLE.COM = {
CORP.EAST.EXAMPLE.COM = .
}
```
Copiez le fichier de configuration Kerberos pour tous les clients dans le domaine actuel.
Pour que l'authentification inter-domaine fonctionne, la nouvelle version du fichier de configuration Kerberos, /etc/krb5/krb5.conf, doit être installée sur tous les systèmes (y compris les KDC esclaves et les autres serveurs).
Répétez cette procédure pour le second domaine.

Copyright © 2002, 2014, Oracle et/ou ses affiliés. Tous droits réservés. Mentions légales