Este procedimiento utiliza la utilidad de instalación kclient sin un perfil de instalación. Si el cliente se unirá a un servidor Active Directory, vaya a Cómo unir un cliente Kerberos a un servidor de Active Directory.
Antes de empezar
Debe asumir el rol root. Para obtener más información, consulte Uso de sus derechos administrativos asignados de Protección de los usuarios y los procesos en Oracle Solaris 11.2 .
client# /usr/sbin/kclient
La secuencia de comandos le solicita la siguiente información:
Nombre de dominio Kerberos
Nombre de host de KDC maestro
Nombres de host de KDC esclavos
Dominios que se van a asignar al dominio local
Nombres de servicio PAM y opciones que se utilizarán para la autentificación Kerberos
Para obtener más información, consulte la página del comando man kclient(1M).
Para obtener la lista de servidores disponibles, consulte la opción –T en la página del comando man kclient(1M).
Las opciones válidas son –dns_lookup_kdc, –dns_lookup_realm y –dns_fallback. Para obtener más información sobre estos valores, consulte la página del comando man krb5.conf(4).
Esta información se ha agregado al archivo de configuración /etc/krb5/krb5.conf.
Esta información se utiliza para crear entradas KDC adicionales en el archivo de configuración del cliente.
Normalmente, el servicio o las claves de host no son necesarios, a menos que el sistema cliente aloje servicios kerberizados.
El nombre de host lógico se utiliza al crear claves de servicio, que es necesario cuando se alojan servicios Kerberos de los clústeres.
Esta asignación permite que otros dominios pertenezcan al dominio predeterminado del cliente.
Las claves de servicio NFS se deben crear si el cliente alojará servicios NFS mediante Kerberos.
Para definir qué servicios del PAM utiliza Kerberos para la autenticación, se proporciona el nombre del servicio y un indicador que especifica cómo se utilizará la autenticación Kerberos. Las opciones de indicadores válidos son:
first: utilice primero la autenticación Kerberos y sólo utilice UNIX si la autenticación Kerberos falla
only: utilice sólo autenticación Kerberos
optional: utilice autenticación Kerberos de manera optativa
Para obtener información acerca de los servicios del PAM proporcionados para Kerberos, consulte los archivos en /etc/security/pam_policy.
Esta opción permite que se utilice información de configuración específica cuando los argumentos para kclient no son suficientes.
...
Starting client setup
---------------------------------------------------
Is this a client of a non-Solaris KDC ? [y/n]: n
No action performed.
Do you want to use DNS for kerberos lookups ? [y/n]: n
No action performed.
Enter the Kerberos realm: EXAMPLE.COM
Specify the KDC host name for the above realm: kdc1.example.com
Note, this system and the KDC's time must be within 5 minutes of each other for
Kerberos to function. Both systems should run some form of time synchronization
system like Network Time Protocol (NTP).
Do you have any slave KDC(s) ? [y/n]: y
Enter a comma-separated list of slave KDC host names: kdc2.example.com
Will this client need service keys ? [y/n]: n
No action performed.
Is this client a member of a cluster that uses a logical host name ? [y/n]: n
No action performed.
Do you have multiple domains/hosts to map to realm ? [y/n]: y
Enter a comma-separated list of domain/hosts to map to the default realm: corphdqtrs.example.com, \
example.com
Setting up /etc/krb5/krb5.conf.
Do you plan on doing Kerberized nfs ? [y/n]: y
Do you want to update /etc/pam.conf ? [y/n]: y
Enter a comma-separated list of PAM service names in the following format:
service:{first|only|optional}: xscreensaver:first
Configuring /etc/pam.conf.
Do you want to copy over the master krb5.conf file ? [y/n]: n
No action performed.
---------------------------------------------------
Setup COMPLETE.