Gestion de Kerberos et d'autres services d'authentification dans Oracle® Solaris 11.2

Quitter la vue de l'impression

 
Mis à jour : Septembre 2014
 
 

Configuration d'un hôte cron pour l'accès aux services Kerberos

    Cette procédure utilise les paramètres de configuration ci-dessous :

  • cron hôte = host1.example.com

  • Serveur NFS = host2.example.com

  • Serveur LDAP = host3.example.com

  1. Configurez le service cron pour prendre en charge Kerberos.
    • Si l'hôte cron n'est pas configuré pour Kerberos, exécutez la commande kclient sur le système.

      Pour plus d'informations, reportez-vous à la page de manuel kclient(1M).

      Par exemple, la commande suivante configure le client dans le domaine EXAMPLE.COM. La commande inclut le fichier pam_gss_s4u dans le fichier de service /etc/pam.d/cron en utilisant le mécanisme include.

      # kclient -s cron:optional -R EXAMPLE.COM
    • Si l'hôtecron est déjà configuré pour Kerberos, vous devez modifier manuellement la configuration PAM du service cron sur cet hôte.

      Assurez-vous que la configuration PAM pour le service cron inclut le fichier pam_gss_s4u.

      # cd /etc/pam.d ; cp cron cron.orig
# pfedit cron
      # PAM include file for optional set credentials
      # through Kerberos keytab and GSS-API S4U support
      auth include          pam_gss_s4u
  2. Activez l'hôte cron pour agir en tant que délégué.

    Ainsi,

    # kadmin -p kws/admin
Enter password: xxxxxxxx
kadmin: modprinc +ok_as_delegate host/host1.example.com@EXAMPLE.COM
Principal “host/host1.example.com@EXAMPLE.COM” modified.
  3. Activez l'hôte cron pour demander des tickets pour lui-même pour le compte de l'utilisateur qui a créé le travail cron. 
    kadmin: modprinc +ok_to_auth_as_delegate host/host1.example.com@EXAMPLE.COM
Principal “host/host1.example.com@EXAMPLE.COM” modified.
kadmin: quit
  4. Dans LDAP, configurez l'hôte cron pour indiquer les services qu'il utilise en tant que délégué.

    Par exemple, pour permettre à l'hôte cron d'accéder au répertoire personnel de l'utilisateur sur host2, un serveur NFS utilisant Kerberos, ajoutez l'hôte NFS au paramètre krbAllowedToDelegateTo dans la définition LDAP du serveur cron.

    1. Créer des messages par procuration affectation. 
      # pfedit /tmp/delghost.ldif
dn: krbprincipalname=host/host1.example.com@EXAMPLE.COM,cn=EXAMPLE.COM,cn=krbcontainer,dc=example,dc=com
changetype: modify
krbAllowedToDelegateTo: nfs/host2.example.com@EXAMPLE.COM
    2. Ajouter l'affectation à LDAP. 
      # ldapmodify -h host3 -D "cn=directory manager" -f delghost.ldif
Copyright © 2002, 2014, Oracle et/ou ses affiliés. Tous droits réservés. Mentions légales
Précédent
Suivant