Gestión de Kerberos y otros servicios de autenticación en Oracle® Solaris 11.2

Salir de la Vista de impresión

Actualización: Septiembre de 2014
 
 

Cómo establecer la autenticación entre dominios directa

El ejemplo de este procedimiento utiliza dos dominios, CORP.EAST.EXAMPLE.COM y SALES.WEST.EXAMPLE.COM. La autenticación entre dominios se establecerá en ambas direcciones. Este procedimiento debe realizarse en el KDC maestro de ambos dominios.

Antes de empezar

El KDC maestro para cada dominio se configura. Para probar completamente el proceso de autenticación, necesita varios clientes.

Debe asumir el rol root en ambos servidores KDC. Para obtener más información, consulte Uso de sus derechos administrativos asignados de Protección de los usuarios y los procesos en Oracle Solaris 11.2 .

  1. Cree principales de servicio de ticket de otorgamiento de tickets para los dos dominios.

    Debe iniciar sesión con uno de los nombres de principales admin que creó cuando configuró el KDC maestro.

    # /usr/sbin/kadmin -p kws/admin
    Enter password: xxxxxxxx
    kadmin: addprinc krbtgt/CORP.EAST.EXAMPLE.COM@SALES.WEST.EXAMPLE.COM
    Enter password for principal
    krbtgt/CORP.EAST.EXAMPLE.COM@SALES.WEST.EXAMPLE.COM:/** Type strong password **/
    kadmin: addprinc krbtgt/SALES.WEST.EXAMPLE.COM@CORP.EAST.EXAMPLE.COM
    Enter password for principal
    krbtgt/SALES.WEST.EXAMPLE.COM@CORP.EAST.EXAMPLE.COM:/** Type strong password **/
    kadmin: quit
  2. Agregue entradas en el archivo de configuración de Kerberos para definir la ruta directa al dominio remoto.

    En este ejemplo, se muestran los clientes en el dominio CORP.EAST.EXAMPLE.COM. Para agregar las definiciones adecuadas en el dominio SALES.WEST.EXAMPLE.COM, intercambie los nombres de dominio.

    # pfedit /etc/krb5/krb5.conf
    [libdefaults]
    .
    .
    [capaths]
    CORP.EAST.EXAMPLE.COM = {
    SALES.WEST.EXAMPLE.COM = .
    }
    
    SALES.WEST.EXAMPLE.COM = {
    CORP.EAST.EXAMPLE.COM = .
    }
  3. Copie el archivo de configuración de Kerberos en todos los clientes del dominio actual.

    Para que la autenticación entre dominios funcione, todos los sistemas (incluidos los KDC esclavos y otros servidores) deben usar la nueva versión del archivo de configuración de Kerberos, /etc/krb5/krb5.conf.

  4. Repita este procedimiento para el segundo dominio.