Gestión de Kerberos y otros servicios de autenticación en Oracle® Solaris 11.2

Salir de la Vista de impresión

 
Actualización: Septiembre de 2014
 
 

Cómo configurar un host de cron para acceder a servicios Kerberos

    Este procedimiento utiliza los siguientes parámetros de configuración:

  • Host de cron = host1.example.com

  • Servidor NFS = host2.example.com

  • Servidor LDAP = host3.example.com

  1. Configure el servicio cron para que admita Kerberos.
    • Si el host de cron no está configurado para Kerberos, ejecute el comando kclient del sistema.

      Para obtener más información, consulte la página del comando man kclient(1M).

      Por ejemplo, el siguiente comando configura el cliente en el dominio EXAMPLE.COM. El comando incluye el archivo pam_gss_s4u en el servicio /etc/pam.d/cron mediante el mecanismo include.

      # kclient -s cron:optional -R EXAMPLE.COM
    • Si el host de cron ya está configurado para Kerberos, debe modificar la configuración del PAM para el servicio cron en ese host de forma manual.

      Asegúrese de que la configuración del PAM para el servicio de cron incluya el archivo pam_gss_s4u.

      # cd /etc/pam.d ; cp cron cron.orig
# pfedit cron
      # PAM include file for optional set credentials
      # through Kerberos keytab and GSS-API S4U support
      auth include          pam_gss_s4u
  2. Active el host de cron para actuar como delegado.

    Por ejemplo:

    # kadmin -p kws/admin
Enter password: xxxxxxxx
kadmin: modprinc +ok_as_delegate host/host1.example.com@EXAMPLE.COM
Principal “host/host1.example.com@EXAMPLE.COM” modified.
  3. Active el host de cron para solicitar tickets para sí mismo en nombre del usuario que creó el trabajo cron. 
    kadmin: modprinc +ok_to_auth_as_delegate host/host1.example.com@EXAMPLE.COM
Principal “host/host1.example.com@EXAMPLE.COM” modified.
kadmin: quit
  4. En LDAP, configure el host de cron para especificar los servicios que utiliza como delegado.

    Por ejemplo, para activar que el host de cron acceda al directorio de inicio del usuario en host2, un servidor NFS kerberizado, agregue el host NFS al parámetro krbAllowedToDelegateTo en la definición de LDAP del servidor cron.

    1. Cree la asignación de delegado. 
      # pfedit /tmp/delghost.ldif
dn: krbprincipalname=host/host1.example.com@EXAMPLE.COM,cn=EXAMPLE.COM,cn=krbcontainer,dc=example,dc=com
changetype: modify
krbAllowedToDelegateTo: nfs/host2.example.com@EXAMPLE.COM
    2. Agregue la asignación a LDAP. 
      # ldapmodify -h host3 -D "cn=directory manager" -f delghost.ldif
Copyright © 2002, 2014, Oracle y/o sus filiales. Todos los derechos reservados. Advertencia legal
Anterior
Siguiente