此过程使用以下配置参数:
cron 主机 = host1.example.com
NFS 服务器 = host2.example.com
LDAP 服务器 = host3.example.com
有关更多信息,请参见 kclient(1M) 手册页。
例如,以下命令将配置位于 EXAMPLE.COM 领域中的客户机。该命令使用 include 机制将 pam_gss_s4u 文件包含到 /etc/pam.d/cron 服务文件。
# kclient -s cron:optional -R EXAMPLE.COM
确保 cron 服务的 PAM 配置包含 pam_gss_s4u 文件。
# cd /etc/pam.d ; cp cron cron.orig # pfedit cron # PAM include file for optional set credentials # through Kerberos keytab and GSS-API S4U support auth include pam_gss_s4u
例如:
# kadmin -p kws/admin Enter password: xxxxxxxx kadmin: modprinc +ok_as_delegate host/host1.example.com@EXAMPLE.COM Principal “host/host1.example.com@EXAMPLE.COM” modified.
kadmin: modprinc +ok_to_auth_as_delegate host/host1.example.com@EXAMPLE.COM Principal “host/host1.example.com@EXAMPLE.COM” modified. kadmin: quit
例如,要使 cron 主机访问用户位于 host2(基于 Kerberos 的 NFS 服务器)上的起始目录,请将 NFS 主机添加到 cron 服务器的 LDAP 定义中的 krbAllowedToDelegateTo 参数。
# pfedit /tmp/delghost.ldif dn: krbprincipalname=host/host1.example.com@EXAMPLE.COM,cn=EXAMPLE.COM,cn=krbcontainer,dc=example,dc=com changetype: modify krbAllowedToDelegateTo: nfs/host2.example.com@EXAMPLE.COM
# ldapmodify -h host3 -D "cn=directory manager" -f delghost.ldif