Este procedimiento utiliza los siguientes parámetros de configuración:
Servidor de aplicaciones = boston
Principal admin = kws/admin
Nombre de dominio DNS = example.com
Nombre de dominio = EXAMPLE.COM
Antes de empezar
El KDC maestro está configurado. Los relojes se sincronizan, como se describe en Sincronización de relojes entre clientes Kerberos y KDC. Para probar completamente el proceso, necesita varios clientes.
Debe asumir el rol root en el servidor de aplicación. Para obtener más información, consulte Uso de sus derechos administrativos asignados de Protección de los usuarios y los procesos en Oracle Solaris 11.2 .
El siguiente comando informa la existencia del principal host:
boston # klist -k | grep host 4 host/boston.example.com@EXAMPLE.COM 4 host/boston.example.com@EXAMPLE.COM 4 host/boston.example.com@EXAMPLE.COM 4 host/boston.example.com@EXAMPLE.COM
Si el comando devuelve un principal, ha terminado. Si no devuelve un principal, cree nuevos principales mediante los siguientes pasos.
boston # /usr/sbin/kadmin -p kws/admin Enter password: xxxxxxxx kadmin:
kadmin: addprinc -randkey host/boston.example.com Principal "host/boston.example.com" created. kadmin:
El principal host se utiliza de las siguientes maneras:
Para autenticar el tráfico al utilizar los comandos remotos, como rsh y ssh.
Por pam_krb5 para evitar ataques de falsificación de KDC mediante el principal host a fin de verificar que la credencial de Kerberos de un usuario se haya obtenido de un KDC de confianza.
Para permitir que el usuario root adquiera automáticamente una credencial de Kerberos sin necesidad de que exista un principal root. Esta capacidad puede ser útil al realizar un montaje de NFS manual donde el recurso compartido requiere una credencial de Kerberos.
Este principal es necesario si el tráfico que utiliza la aplicación remota se va a autenticar mediante el servicio Kerberos. Si el servidor tiene varios nombres de host asociados con él, cree un principal para cada nombre de host mediante el formulario FQDN del nombre de host.
Si el comando kadmin no se está ejecutando, reinícielo con un comando similar al siguiente: /usr/sbin/kadmin -p kws/admin
Si el servidor tiene varios nombres de host asociados con él, agregue un principal al archivo keytab para cada nombre de host.
kadmin: ktadd host/boston.example.com Entry for principal host/boston.example.com with kvno 3, encryption type AES-256 CTS mode with 96-bit SHA-1 HMAC added to keytab WRFILE:/etc/krb5/krb5.keytab. Entry for principal host/boston.example.com with kvno 3, encryption type AES-128 CTS mode with 96-bit SHA-1 HMAC added to keytab WRFILE:/etc/krb5/krb5.keytab. Entry for principal host/boston.example.com with kvno 3, encryption type Triple DES cbc mode with HMAC/sha1 added to keytab WRFILE:/etc/krb5/krb5.keytab. kadmin:
kadmin: quit