이 절차에서는 설치 프로파일 없이 kclient 설치 유틸리티를 사용합니다. 클라이언트가 Active Directory 서버에 참여하도록 설정하려는 경우 Kerberos 클라이언트가 Active Directory 서버에 참여하도록 설정하는 방법으로 이동합니다.
시작하기 전에
root 역할을 맡아야 합니다. 자세한 내용은 Oracle Solaris 11.2의 사용자 및 프로세스 보안 의 지정된 관리 권한 사용을 참조하십시오.
client# /usr/sbin/kclient
다음 정보를 묻는 프롬프트가 표시됩니다.
Kerberos 영역 이름
KDC 마스터 호스트 이름
KDC 슬레이브 호스트 이름
로컬 영역에 매핑할 도메인
Kerberos 인증에 사용할 PAM 서비스 이름 및 옵션
자세한 내용은 kclient(1M) 매뉴얼 페이지를 참조하십시오.
사용할 수 있는 서버 목록은 kclient(1M) 매뉴얼 페이지의 –T 옵션을 참조하십시오.
유효한 옵션은 –dns_lookup_kdc, –dns_lookup_realm 및 –dns_fallback입니다. 이러한 값에 대한 자세한 내용은 krb5.conf(4) 매뉴얼 페이지를 참조하십시오.
이 정보는 /etc/krb5/krb5.conf 구성 파일에 추가됩니다.
이 정보는 클라이언트의 구성 파일에 추가 KDC 항목을 만드는 데 사용됩니다.
일반적으로 클라이언트 시스템이 Kerberos화된 서비스를 호스트하는 경우 서비스 또는 호스트 키가 필요하지 않습니다.
논리적 호스트 이름은 서비스 키를 만들 때 사용되며, 클러스터에서 Kerberos 서비스를 호스트하는 경우 필요합니다.
이 매핑은 다른 도메인이 클라이언트의 기본 영역에 속할 수 있도록 합니다.
클라이언트가 Kerberos를 사용하는 NFS 서비스를 호스트할 경우 NFS 서비스 키를 만들어야 합니다.
인증에 Kerberos를 사용할 PAM 서비스를 설정하려면 서비스 이름과 Kerberos 인증의 사용 방식을 나타내는 플래그를 제공합니다. 유효한 플래그 옵션은 다음과 같습니다.
first - Kerberos 인증을 먼저 사용하고 Kerberos 인증을 실패한 경우에만 UNIX를 사용합니다.
only - Kerberos 인증만 사용합니다.
optional - 선택적으로 Kerberos 인증을 사용합니다.
Kerberos용으로 제공된 PAM 서비스에 대한 자세한 내용은 /etc/security/pam_policy를 참조하십시오.
이 옵션을 설정하면 kclient에 대한 인수가 충분하지 않을 경우 특정 구성 정보를 사용할 수 있습니다.
... Starting client setup --------------------------------------------------- Is this a client of a non-Solaris KDC ? [y/n]: n No action performed. Do you want to use DNS for kerberos lookups ? [y/n]: n No action performed. Enter the Kerberos realm: EXAMPLE.COM Specify the KDC host name for the above realm: kdc1.example.com Note, this system and the KDC's time must be within 5 minutes of each other for Kerberos to function. Both systems should run some form of time synchronization system like Network Time Protocol (NTP). Do you have any slave KDC(s) ? [y/n]: y Enter a comma-separated list of slave KDC host names: kdc2.example.com Will this client need service keys ? [y/n]: n No action performed. Is this client a member of a cluster that uses a logical host name ? [y/n]: n No action performed. Do you have multiple domains/hosts to map to realm ? [y/n]: y Enter a comma-separated list of domain/hosts to map to the default realm: corphdqtrs.example.com, \ example.com Setting up /etc/krb5/krb5.conf. Do you plan on doing Kerberized nfs ? [y/n]: y Do you want to update /etc/pam.conf ? [y/n]: y Enter a comma-separated list of PAM service names in the following format: service:{first|only|optional}: xscreensaver:first Configuring /etc/pam.conf. Do you want to copy over the master krb5.conf file ? [y/n]: n No action performed. --------------------------------------------------- Setup COMPLETE.