Cette procédure utilise l'utilitaire d'installation kclient sans profil d'installation. Si le client doit se connecter à un serveur Active Directory, passez à la section Connexion d'un client Kerberos à un serveur Active Directory.
Avant de commencer
Vous devez prendre le rôle root. Pour plus d'informations, reportez-vous à la section A l’aide de vos droits administratifs attribués du manuel Sécurisation des utilisateurs et des processus dans Oracle Solaris 11.2 .
client# /usr/sbin/kclient
Le script vous invite à entrer les informations suivantes :
Nom de domaine Kerberos
Nom d'hôte KDC maître
Nom d'hôte KDC esclave
Domaines à mettre en correspondance avec le domaine local
Noms de service PAM et options à utiliser pour l'authentification Kerberos
Pour plus d'informations, reportez-vous à la page de manuel kclient(1M).
Pour obtenir la liste des serveurs disponibles, reportez-vous à l'option –T dans la page de manuel kclient(1M).
Les options valides sont –dns_lookup_kdc, –dns_lookup_realm et –dns_fallback. Pour plus d'informations sur ces valeurs, reportez-vous à la page de manuel krb5.conf(4).
Ces informations sont ajoutées au fichier de configuration /etc/krb5/krb5.conf.
Ces informations sont utilisées pour créer d'autres entrées KDC dans le fichier de configuration du client.
En général, aucune clé de service ou d'hôte n'est requise, sauf si le système client héberge des services utilisant Kerberos.
Le nom d'hôte logique est utilisé lorsque vous créez les clés de service, ce qui est requis lors de l'hébergement de services Kerberos de clusters.
Ce mappage permet à d'autres domaines d'appartenir au domaine par défaut du client.
Les clés de service NFS doivent être créées si le client héberge des services NFS utilisant Kerberos.
Les services de définir l'utilisation de Kerberos pour l'authentification PAM, vous fournissez le nom du service et un indicateur signalant comment l'authentification Kerberos est utilisée. Les options d'indicateur valides sont les suivantes :
first : utilisez d'abord l'authentification Kerberos, puis utilisez uniquement UNIX si l'authentification Kerberos échoue
only : utilisez uniquement l'authentification Kerberos
optional : utilisez l'authentification Kerberos de manière optionnelle
Pour plus d'informations sur les services PAM fournis pour Kerberos, examinez les fichiers dans /etc/security/pam_policy.
Cette option permet d'utiliser des informations de configuration spécifiques lorsque les arguments de kclient ne sont pas suffisants.
...
Starting client setup
---------------------------------------------------
Is this a client of a non-Solaris KDC ? [y/n]: n
No action performed.
Do you want to use DNS for kerberos lookups ? [y/n]: n
No action performed.
Enter the Kerberos realm: EXAMPLE.COM
Specify the KDC host name for the above realm: kdc1.example.com
Note, this system and the KDC's time must be within 5 minutes of each other for
Kerberos to function. Both systems should run some form of time synchronization
system like Network Time Protocol (NTP).
Do you have any slave KDC(s) ? [y/n]: y
Enter a comma-separated list of slave KDC host names: kdc2.example.com
Will this client need service keys ? [y/n]: n
No action performed.
Is this client a member of a cluster that uses a logical host name ? [y/n]: n
No action performed.
Do you have multiple domains/hosts to map to realm ? [y/n]: y
Enter a comma-separated list of domain/hosts to map to the default realm: corphdqtrs.example.com, \
example.com
Setting up /etc/krb5/krb5.conf.
Do you plan on doing Kerberized nfs ? [y/n]: y
Do you want to update /etc/pam.conf ? [y/n]: y
Enter a comma-separated list of PAM service names in the following format:
service:{first|only|optional}: xscreensaver:first
Configuring /etc/pam.conf.
Do you want to copy over the master krb5.conf file ? [y/n]: n
No action performed.
---------------------------------------------------
Setup COMPLETE.