此过程使用 kclient 安装实用程序而非安装配置文件。如果客户机将加入 Active Directory 服务器,则转到如何将 Kerberos 客户机加入到 Active Directory 服务器。
开始之前
您必须承担 root 角色。有关更多信息,请参见在 Oracle Solaris 11.2 中确保用户和进程的安全 中的使用所指定的管理权限。
client# /usr/sbin/kclient
脚本将提示您提供以下信息:
Kerberos 领域名称
主 KDC 服务器主机名
KDC 从主机名
映射到本地领域的域
用于 Kerberos 验证的 PAM 服务名称和选项
有关更多信息,请参见 kclient(1M) 手册页。
有关可用服务器的列表,请参见 kclient(1M) 手册页中的 –T 选项。
有效的选项有:–dns_lookup_kdc、–dns_lookup_realm 和 –dns_fallback。有关这些值的更多信息,请参见 krb5.conf(4) 手册页。
此信息将添加到 /etc/krb5/krb5.conf 配置文件中。
此信息用于在客户机配置文件中创建其他 KDC 项。
通常情况下不需要服务密钥或主机密钥,除非客户机系统正在托管基于 Kerberos 的服务。
逻辑主机名可用于创建服务密钥,而后者是在群集中托管 Kerberos 服务所必需的。
此映射允许其他域存在于客户机的缺省领域。
当客户机使用 Kerberos 托管 NFS 服务时,需要创建 NFS 服务密钥。
要设置使用 Kerberos 进行验证的 PAM 服务,需要提供服务名称以及指示 Kerberos 验证的使用方式的标志。有效的标志选项包括:
first-首先使用 Kerberos 验证,仅当 Kerberos 验证失败时才使用 UNIX
only-仅使用 Kerberos 验证
optional-有选择地使用 Kerberos 验证
有关为 Kerberos 提供的 PAM 服务的信息,请查看 /etc/security/pam_policy 中的文件。
借助此选项,可以指定在 kclient 的参数不足时使用的特定配置信息。
... Starting client setup --------------------------------------------------- Is this a client of a non-Solaris KDC ? [y/n]: n No action performed. Do you want to use DNS for kerberos lookups ? [y/n]: n No action performed. Enter the Kerberos realm: EXAMPLE.COM Specify the KDC host name for the above realm: kdc1.example.com Note, this system and the KDC's time must be within 5 minutes of each other for Kerberos to function. Both systems should run some form of time synchronization system like Network Time Protocol (NTP). Do you have any slave KDC(s) ? [y/n]: y Enter a comma-separated list of slave KDC host names: kdc2.example.com Will this client need service keys ? [y/n]: n No action performed. Is this client a member of a cluster that uses a logical host name ? [y/n]: n No action performed. Do you have multiple domains/hosts to map to realm ? [y/n]: y Enter a comma-separated list of domain/hosts to map to the default realm: corphdqtrs.example.com, \ example.com Setting up /etc/krb5/krb5.conf. Do you plan on doing Kerberized nfs ? [y/n]: y Do you want to update /etc/pam.conf ? [y/n]: y Enter a comma-separated list of PAM service names in the following format: service:{first|only|optional}: xscreensaver:first Configuring /etc/pam.conf. Do you want to copy over the master krb5.conf file ? [y/n]: n No action performed. --------------------------------------------------- Setup COMPLETE.