Instalación de sistemas Oracle® Solaris 11.2

Salir de la Vista de impresión

 
Actualización: Julio de 2014
 
 

Cómo configurar clientes Kerberos mediante AI

En este procedimiento, el archivo keytab para el cliente ya se ha creado y almacenado en el servidor AI. En los ejemplos se utiliza el registro automático para configurar clientes Kerberos mediante el uso de credenciales preexistentes o nuevos principales. El proceso de registro automático es más simple porque no tiene que crear y codificar los archivos keytab para clientes individuales.

  1. Conviértase en administrador.

    Para obtener más información, consulte How to Use Your Assigned Administrative Rights in Oracle Solaris 11.2 Administration: Security Services.

  2. Cree un servicio de instalación, si es necesario. 
    # installadm create-service -n krb-sparc \ 
    -d /export/auto_install/krb-sparc \ 
    -s /export/auto_install/iso/sol-11_2-ai-sparc.iso
Creating service from:
/export/auto_install/iso/sol-11_2-ai-sparc.iso 
Setting up the image ... 
Creating sparc service: krb-sparc 
Image path: /export/auto_install/krb-sparc 
Refreshing install services
  3. Asocie clientes con un servicio.

    Repita este paso para todos los clientes que se deban instalar ejecutando Kerberos. En este ejemplo, el cliente que utiliza la dirección 11:11:11:11:11:11 está asociado al servicio de instalación krb-sparc.

    # installadm create-client -n krb-sparc -e 11:11:11:11:11:11
Adding host entry for 11:11:11:11:11:11 to local DHCP configuration.
  4. Cree credenciales para los clientes. 
    # installadm set-client -c 11:11:11:11:11:11 -g 
Generating credentials for client 11:11:11:11:11:11... 
A new certificate key has been generated. 
A new certificate has been generated.
  5. Cree un perfil de configuración de sistema que defina el contenido del archivo de configuración de Kerberos.

    En este ejemplo, se crea un perfil mediante la ejecución del comando kclient de forma interactiva. Como alternativa, puede invocar el comando mediante las opciones de línea de comandos o mediante un perfil de entrada. Para obtener más información, consulte la página del comando man kclient(1M).

    En este ejemplo, el KDC se está ejecutando en un servidor MIT. Para ver una salida de ejemplo de un KDC Solaris, consulte el Example 8–31. Para ver una salida de ejemplo de un cliente AD, consulte el Example 8–33.

    # kclient -x /root/krb-sc.xml
Starting client setup
---------------------------------------------------
Is this a client of a non-Solaris KDC ? [y/n]: y
Which type of KDC is the server: 
       ms_ad: Microsoft Active Directory 
       mit: MIT KDC server 
       heimdal: Heimdal KDC server 
       shishi: Shishi KDC server 
Enter required KDC type: mit 
Do you want to use DNS for kerberos lookups ? [y/n]: n 
       No action performed. 
Enter the Kerberos realm: EXAMPLE.COM 
Specify the master KDCs for the above realm using a comma-separated list: kdc.example.com 
Do you have any slave KDC(s) ? [y/n]: y 
Enter a comma-separated list of slave KDC host names: kdc2.example.com 
Do you have multiple domains/hosts to map to a realm ? [y/n]: n
       No action performed.
Setting up /root/krb-sc.xml.
  6. (Opcional) Convierta un archivo keytab binario de un cliente en un perfil XML.

    Este paso no es necesario si las claves se pueden obtener por medio del registro automático o si el cliente no tiene clave. El cliente debe tener un archivo keytab creado, lo cual a menudo es realizado por el administrador de KDC cuando un cliente se configura por primera vez.

    # kclient-kt2prof -k ./host1.keytab -p /root/host1.xml
  7. Cree perfiles de cliente para configurar el resto del cliente.

    Como en este procedimiento se debe utilizar un perfil, configure la mayor parte que sea posible del cliente con perfiles de configuración de sistema.

  8. (Opcional) Defina la política de seguridad de los perfiles.

    Si entre los perfiles de cliente de incluye un archivo keytab, debe asignar la política de seguridad require-client-auth al servicio para que sólo los clientes autenticados puedan descargar su archivo keytab. 

    # installadm set-service -p require-client-auth -n krb-sparc
  9. Asocie los perfiles de cliente al servicio de cliente.

    Asocie los perfiles para el archivo de configuración de Kerberos, el archivo keytab de cliente y cualquier otro perfil que haya creado al servicio de instalación.

    # installadm create-profile -n krb-sparc -f /root/krb-sc.xml 
Profile krb-sc.xml added to database. 
# installadm create-profile -n krb-sparc -f /root/host1.xml -c mac="11:11:11:11:11:11"
Profile host1.xml added to database.
  10. Inicie el cliente para comenzar el proceso de AI.
Ejemplo 8-31  Descarga de las claves existentes durante la implementación de los clientes Kerberos

Tenga en cuenta que el uso del registro automático sólo funciona si el KDC es Solaris KDC o MS AD Si el KDC es MIT, Heimdal o Shishi, sólo es posible la transferencia de archivos keytab generados previamente.

Para utilizar la función de registro automático para descargar las claves existentes, primero, debe haber creado un principal admin en el KDC con los privilegios de administración c e i. En este ejemplo, el nombre del principal es download/admin. Para obtener instrucciones, consulte Creación de un nuevo principal de Kerberos de Gestión de Kerberos y otros servicios de autenticación en Oracle Solaris 11.2 y Modificación de los privilegios de administración de los principales de Kerberos de Gestión de Kerberos y otros servicios de autenticación en Oracle Solaris 11.2 .

En este ejemplo, el KDC está ejecutando Oracle Solaris. Además, las claves para el cliente ya se han creado.

En este ejemplo, se muestra cómo agregar el principal download/admin al crear el perfil de configuración de sistema para el archivo de configuración de Kerberos. El principal download/admin es un principal admin especial que se utiliza para transferir las claves existentes del servidor KDC cuando se implementa el cliente Kerberos.

# kclient -x /root/krb-sc.xml	
Starting client setup 
--------------------------------------------------- 
Is this a client of a non-Solaris KDC ? [y/n]: n 
        No action performed. 
Do you want to use DNS for kerberos lookups ? [y/n]: n 
        No action performed. 
Enter the Kerberos realm: EXAMPLE.COM 
Specify the master KDCs for the above realm using a comma-separated
list: kdc.example.com 
Do you have any slave KDC(s) ? [y/n]: y 
Enter a comma-separated list of slave KDC host names: kdc2.example.com 
Do you have multiple domains/hosts to map to realm  ? EXAMPLE.COM [y/n]: n
        No action performed.
Should the client automatically join the realm ? [y/n]: y
Enter the krb5 administrative principal to be used: download/admin
Password for download/admin: xxxxxxxx
Do you plan on doing Kerberized nfs ? [y/n]: n 
        No action performed.   
Is this client a member of a cluster that uses a logical host name ? [y/n]: n
        No action performed. 
Do you have multiple DNS domains spanning the Kerberos realm EXAMPLE.COM ? [y/n]: n
        No action performed.
Setting up /root/krb-sc.xml.
Ejemplo 8-32  Creación de nuevas claves durante la implementación de los clientes Kerberos

Tenga en cuenta que el uso del registro automático sólo funciona si el KDC es Solaris KDC o MS AD Si el KDC es MIT, Heimdal o Shishi, sólo es posible la transferencia de archivos keytab generados previamente.

Para utilizar la función de registro automático para descargar claves nuevas, primero, debe haber creado un principal admin en el KDC con los privilegios de administración a, c e i. En este ejemplo, el nombre del principal es create/admin. Para obtener instrucciones, consulte Creación de un nuevo principal de Kerberos de Gestión de Kerberos y otros servicios de autenticación en Oracle Solaris 11.2 y Modificación de los privilegios de administración de los principales de Kerberos de Gestión de Kerberos y otros servicios de autenticación en Oracle Solaris 11.2 .

En este ejemplo, el KDC está ejecutando Oracle Solaris. En este ejemplo, se agrega el principal create/admin durante la creación del perfil de configuración de sistema para el archivo de configuración de Kerberos. El principal create/admin es un principal admin especial que se utiliza para transferir claves nuevas del servidor KDC cuando se implementa el cliente Kerberos. Este comando incluye más opciones, por lo que surgen menos preguntas.

# kclient -x /root/krb-sc.xml -R EXAMPLE.COM -a create/admin -d none -m kdc.example.com	
Starting client setup 
--------------------------------------------------- 
Do you have multiple domains/hosts to map to realm  ? EXAMPLE.COM [y/n]: n
        No action performed.
Should the client automatically join the realm ? [y/n]: y
Password for create/admin: xxxxxxxx
Setting up /root/krb-sc.xml.
Ejemplo 8-33  Incorporación automática de un cliente AI a un dominio MS AD

En este ejemplo, el cliente AD se incorpora a un dominio AD. Utilice el siguiente comando para agregar el principal Adminstrator al crear el perfil de configuración de sistema para el archivo de configuración de Kerberos.

# kclient -x /root/krb-sc.xml	
Starting client setup 
--------------------------------------------------- 
Is this a client of a non-Solaris KDC ? [y/n]: y 
Which type of KDC is the server: 
        ms_ad: Microsoft Active Directory 
        mit: MIT KDC server 
        heimdal: Heimdal KDC server 
        shishi: Shishi KDC server 
Enter required KDC type: ms_ad 
Should the client automatically join AD domain ? [y/n]: y
Enter the Kerberos realm: EXAMPLE.COM 
Enter the krb5 administrative principal to be used: Administrator
Password for Administrator: xxxxxxxx
Setting up /root/krb-sc.xml.
Copyright © 2011, 2014, Oracle y/o sus filiales. Todos los derechos reservados. Advertencia legal
Anterior
Siguiente