如何为 Kerberos 服务访问配置 cron 主机 - 在 Oracle® Solaris 11.2 中管理 Kerberos 和其他验证服务

在 Oracle^® Solaris 11.2 中管理 Kerberos 和其他验证服务

退出打印视图

» ...Documentation Home » Oracle Solaris 11.2 Information Library (简体中文) » 在 Oracle^® Solaris 11.2 中管理 ... » 配置 Kerberos 服务 » 为 Kerberos 服务访问配置延迟执行 » 如何为 Kerberos 服务访问配置 cron 主机

更新时间： 2014 年 9 月

在 Oracle^® Solaris 11.2 中管理 Kerberos 和其他验证服务

使用本文档

第 1 章使用可插拔验证模块

第 2 章关于 Kerberos 服务

第 3 章规划 Kerberos 服务

第 4 章配置 Kerberos 服务

配置 Kerberos 服务

配置其他 Kerberos 服务

配置 KDC 服务器

如何安装 KDC 软件包

如何配置 Kerberos 以 FIPS 140 模式运行

如何使用 kdcmgr 配置主 KDC

如何使用 kdcmgr 配置从 KDC

如何手动配置主 KDC 服务器

如何手动配置从 KDC 服务器

如何将主 KDC 配置为使用 LDAP 目录服务器

替换主服务器上的票证授予服务密钥

在 LDAP 目录服务器上管理 KDC

如何在非 Kerberos 对象类类型中混合 Kerberos 主体属性

如何在 LDAP 目录服务器上销毁领域

配置 Kerberos 客户机

如何创建 Kerberos 客户机安装配置文件

如何自动配置 Kerberos 客户机

如何交互配置 Kerberos 客户机

如何将 Kerberos 客户机加入到 Active Directory 服务器

如何手动配置 Kerberos 客户机

禁用票证授予票证的验证

如何以 root 用户身份访问受 Kerberos 保护的 NFS 文件系统

如何在 Kerberos 领域中配置用户自动迁移

自动更新所有票证授予票证

配置 Kerberos 网络应用服务器

如何配置 Kerberos 网络应用服务器

运行 FTP 时如何将通用安全服务与 Kerberos 配合使用

配置 Kerberos NFS 服务器

如何配置 Kerberos NFS 服务器

如何创建和修改凭证表

如何提供各领域之间的凭证映射

如何设置使用多种 Kerberos 安全模式的安全 NFS 环境

为 Kerberos 服务访问配置延迟执行

如何为 Kerberos 服务访问配置 cron 主机

配置跨领域验证

如何建立层次化跨领域验证

如何建立直接跨领域验证

同步 KDC 与 Kerberos 客户机的时钟

交换主 KDC 服务器与从 KDC 服务器

如何配置可交换的从 KDC 服务器

如何交换主 KDC 服务器与从 KDC 服务器

管理 Kerberos 数据库

备份和传播 Kerberos 数据库

如何恢复 Kerberos 数据库的备份

如何在服务升级后转换 Kerberos 数据库

如何重新配置主 KDC 服务器以使用增量传播

如何重新配置从 KDC 服务器以使用增量传播

如何验证 KDC 服务器是否已同步

手动将 Kerberos 数据库传播到从 KDC 服务器

为 Kerberos 设置并行传播

设置并行传播的配置步骤

管理 Kerberos 数据库的存储文件

如何为 Kerberos 数据库创建、使用和存储新的主密钥

增强 Kerberos 服务器的安全性

限制对 KDC 服务器的访问

使用字典文件提高口令的安全性

第 5 章管理 Kerberos 主体和策略

第 6 章使用 Kerberos 应用程序

第 7 章 Kerberos 服务参考信息

第 8 章 Kerberos 错误消息和故障排除

第 9 章使用简单验证和安全层

第 10 章配置网络服务验证

附录 A 用于 Kerberos 的 DTrace 探测器

安全词汇表

语言：

如何为 Kerberos 服务访问配置 cron 主机

此过程使用以下配置参数：

cron 主机 = host1.example.com
NFS 服务器 = host2.example.com
LDAP 服务器 = host3.example.com

配置 cron 服务以支持 Kerberos。
- 如果未针对 Kerberos 配置 cron 主机，请在系统上运行 kclient 命令。
  有关更多信息，请参见 kclient(1M) 手册页。
  
  例如，以下命令将配置位于 EXAMPLE.COM 领域中的客户机。该命令使用 include 机制将 pam_gss_s4u 文件包含到 /etc/pam.d/cron 服务文件。
```
# kclient -s cron:optional -R EXAMPLE.COM
```
- 如果已针对 Kerberos 配置 cron 主机，则必须手动在该主机上修改 cron 服务的 PAM 配置。
  确保 cron 服务的 PAM 配置包含 pam_gss_s4u 文件。
```
# cd /etc/pam.d ; cp cron cron.orig
# pfedit cron
      # PAM include file for optional set credentials
      # through Kerberos keytab and GSS-API S4U support
      auth include          pam_gss_s4u
```

使 cron 充当委托代表。

例如：

# kadmin -p kws/admin
Enter password: xxxxxxxx
kadmin: modprinc +ok_as_delegate host/host1.example.com@EXAMPLE.COM
Principal “host/host1.example.com@EXAMPLE.COM” modified.

使 cron 主机代表创建了 cron 作业的用户为自身请求票证。

kadmin: modprinc +ok_to_auth_as_delegate host/host1.example.com@EXAMPLE.COM
Principal “host/host1.example.com@EXAMPLE.COM” modified.
kadmin: quit

在 LDAP 中，配置 cron 以指定其用作委托代表的服务。
例如，要使 cron 主机访问用户位于 host2（基于 Kerberos 的 NFS 服务器）上的起始目录，请将 NFS 主机添加到 cron 服务器的 LDAP 定义中的 krbAllowedToDelegateTo 参数。
1. 创建委托指定。
```
# pfedit /tmp/delghost.ldif
dn: krbprincipalname=host/host1.example.com@EXAMPLE.COM,cn=EXAMPLE.COM,cn=krbcontainer,dc=example,dc=com
changetype: modify
krbAllowedToDelegateTo: nfs/host2.example.com@EXAMPLE.COM
```
2. 将该指定添加到 LDAP。
```
# ldapmodify -h host3 -D "cn=directory manager" -f delghost.ldif
```

版权所有 © 2002, 2014, Oracle 和/或其附属公司。保留所有权利。法律声明