Netz für RPCSEC-GSS einrichten

Online bearbeiten

Das Netz, das in diesem Szenario eingerichtet wird, enthält fünf Server und ist für RPCSEC-GSS konfiguriert.

Die fünf Server im Netz sind wie folgt:
  • kdc.austin.ibm.com
  • alpha.austin.ibm.com
  • beta.austin.ibm.com
  • gamma.austin.ibm.com
  • zeta.austin.ibm.com
Das System kdc.austin.ibm.com wird als KDC-Server (Key Distribution Center) konfiguriert, und der Kerberos-Realm AUSTIN.IBM.COM wird erstellt, auf dem alle Systeme mit Ausnahme von kdc.austin.ibm.com und zeta.austin.ibm.com als NFS-Server fungieren, die Dateisysteme anbieten, welche mit RPCSEC-GSS exportiert wurden.

Die Systeme alpha.austin.ibm.com und beta.austin.ibm.com verfügen über eine zusätzliche Verknüpfung zwischen diesen Systemen. Über diese Verknüpfung werden sie gegenseitig als fast_alpha.test.austin.com und fast_beta.test.austin.ibm.com angezeigt. Aus diesem Grund ist ein zusätzlicher Konfigurationsschritt erforderlich.

Darüber hinaus verfügt dieses Netz über die folgenden Benutzer, die auf einigen der Systeme konfiguriert wurden:
  • adam
  • brian
  • charlie
  • dave
  • eric
Hinweis: Die folgende Konfiguration wird nur als Beispiel bereitgestellt und ist möglicherweise nicht für alle Umgebungen geeignet. Bevor Sie versuchen, einen neuen Kerberos-Realm zu konfigurieren, lesen Sie die Informationen im Administratorhandbuch und im Benutzerhandbuch für den Netzauthentifizierungsservice.
Anmerkung: Kerberos erfordert, dass die Systemzeit im gesamten Netz relativ nah ist. Bevor Sie mit dieser Prozedur beginnen, sollten Sie einen Mechanismus konfigurieren, um die Zeit im gesamten Netz automatisch zu synchronisieren, z. B. den Dämon AIX® timed oder eine NTP-Konfiguration.
  1. Richten Sie den KDC-Server ein.
    Hinweis: Idealerweise sollte der KDC-Server nicht für andere Zwecke verwendet werden. Wenn das KDC kompromittiert ist, werden alle Kerberos -Principals kompromittiert.

    In diesem Szenario wird kdc.austin.ibm.com als KDC-Server konfiguriert. Die folgende Konfiguration ist für des3 vorgesehen. Wenn des aus Leistungsgründen bevorzugt wird, fügen Sie das Argument -e des-cbc-crc:normal zum Aufruf addprinc und zum Aufruf ktadd für kadmin im Anschluss hinzu.

    Fügen Sie zum Konfigurieren Ihres Netzes mit der aes -Verschlüsselung das Argument -e aes256-cts:normal zum Aufruf addprinc und zum Aufruf ktadd für den Befehl kadmin hinzu.

    1. Installieren Sie die Dateigruppe krb5.server.rte in kdc.austin.ibm.com.
    2. Richten Sie den KDC-Server ein. In diesem Szenario wurde der folgende Befehl verwendet:
      config.krb5 -S -d austin.ibm.com -r AUSTIN.IBM.COM
      Nach der Ausführung dieses Befehls fragt das System nach einem Kennwort für die Masterdatenbank und für den Administrator-Principal.
    3. Erstellen Sie Prinzipals für jeden Benutzer und Host, indem Sie den Befehl /usr/krb5/sbin/kadmin.local auf dem KDC-Server ausführen. In diesem Beispiel werden Kerberos -Principals erstellt, die dem UNIX-Benutzernamen des zugeordneten Benutzers entsprechen. Der Principalname wird über NFS dem Benutzernamen zugeordnet, um den UNIX-Berechtigungsnachweis zu ermitteln, der dem Principal zugeordnet ist. Eine Beschreibung zur Verwendung allgemeiner Zuordnungen zwischen Principals und Benutzernamen finden Sie unter Identitätszuordnung. Für dieses Netz wurden die folgenden Principals erstellt:
      • adam
      • brian
      • charlie
      • dave
      • eric
      • nfs/alpha.austin.ibm.com
      • nfs/beta.austin.ibm.com
      • nfs/gamma.austin.ibm.com
      Anmerkung: Die ausgewählten Benutzerprincipalnamen müssen mit den entsprechenden Benutzernamen in der konfigurierten Benutzerregistry des Systems (/etc/passwd, LDAP, NISusw.) übereinstimmen. NFS verwendet den Namen des Principals als Benutzernamen, um Benutzer- und Gruppen-IDs auf dem lokalen System zu erhalten. Stimmen die Namen nicht überein, wird der Zugriff als anonymer Zugriff behandelt.
    KDC ist jetzt konfiguriert.
  2. Jeder NFS -Client und -Server wird jetzt mit dem Befehl config.krb5 als Kerberos -Client konfiguriert.
    Wie dies getan wird, hängt davon ab, wie KDC konfiguriert wurde. In diesem Szenario wurde auf jedem NFS-System der folgende Befehl ausgeführt:
    config.krb5 -C -d austin.ibm.com -r AUSTIN.IBM.COM -c kdc.austin.ibm.com -s kdc.austin.ibm.com
    Es ist nun möglich, kinit als beliebigen Benutzerprincipal auf einem der konfigurierten Systeme zu verwenden. Führen Sie zum Beispiel den folgenden Befehl aus, um kinit als Benutzer adam auszuführen:
    /usr/krb5/bin/kinit adam
    Sie müssen das Kennwort für Kerberosvon adamangeben, nicht AIX.

    In diesem Beispiel wird kinit verwendet, um den Benutzer zu authentifizieren. Es ist möglich, AIX für die Verwendung der Kerberos -Authentifizierung während der Systemanmeldung zu konfigurieren. Weitere Informationen finden Sie unter Authentication to AIX Using Kerberos in Security.

  3. Jeder NFS -Server wird jetzt mit dem entsprechenden Eintrag keytab konfiguriert.
    In diesem Szenario wurde der Eintrag keytab für alpha.austin.ibm.com als Beispiel konfiguriert. Genau derselbe Prozess wird unter beta.austin.ibm.com und gamma.austin.ibm.comverwendet.
    1. Führen Sie in alpha.austin.ibm.comden Befehl kadmin aus. Führen Sie anschließend den folgenden Befehl aus:
      ktadd nfs/alpha.austin.ibm.com
      Dadurch wird eine keytab -Datei erstellt.
    2. Konfigurieren Sie als Nächstes den Dämon gssd für die Verwendung der Datei keytab , die Sie soeben mit dem Befehl nfshostkey erstellt haben.
      In diesem Szenario wurden die folgenden Schritte ausgeführt:
      nfshostkey -p nfs/alpha.austin.ibm.com -f /etc/krb5/krb5.keytab
    3. Konfigurieren Sie den gssd -Dämon so, dass er automatisch gestartet wird, indem Sie den folgenden Befehl ausführen: 
      chnfs -S -B
    Wiederholen Sie diese Konfiguration für jedes System.
  4. An diesem Punkt funktioniert der NFS -Server, obwohl alle Benutzer als nobodyauftreten. Es wird empfohlen, alle Benutzer auf allen Servern mit derselben UID und GID zu verwenden; alle Benutzer, die nicht vorhanden sind, haben nur als nobody Zugriff auf das exportierte Verzeichnis. Um Benutzernamen für die ordnungsgemäße Zuordnung zu erhalten, müssen Sie den NFS-Registry-Dämon konfigurieren.
    1. Richten Sie die Domäne mit dem Befehl chnfsdom ein. In diesem Szenario wurde der folgende Befehl auf allen NFS -Servern ausgeführt, um austin.ibm.com als Domäne einzurichten:
      chnfsdom austin.ibm.com
    2. Richten Sie die Datei /etc/nfs/realm.map ein. Diese Datei sollte eine Zeile mit dem Realmnamen gefolgt von der lokalen Domäne enthalten.
      Für unser Beispielnetz sollten diese beiden Dateien auf allen NFS-Servern wie folgt aussehen:
      realm.map AUSTIN.IBM.COM		 austin.ibm.com
      Bei dem Realmeintrag in dieser Datei muss die Groß-/Kleinschreibung nicht beachtet werden. Daher ist dieser Eintrag nicht erforderlich.
    3. Für zeta.austin.ibm.com, das kein NFS -Server sein wird, starten Sie den gssd -Dämon mit dem Befehl chnfs -S -B . Bevor Sie Kerberos -Clientoperationen ausführen, muss der Benutzer kinit verwenden, um gültige Berechtigungsnachweise abzurufen.
  5. In diesem Szenario besteht eine schnelle Netzverbindungskonfiguration zwischen alpha.austin.ibm.com und beta.austin.ibm.com. Über diese Verknüpfung wird beta.austin.ibm.com für alpha.austin.ibm.com als fast_alpha.test.austin.ibm.com und alpha.autsin.ibm.com für beta.austin.ibm.com als fast_beta.test.austin.ibm.com angezeigt. Da weder nfs/fast_alpha.test.austin.ibm.com noch nfs/fast_beta.test.austin.ibm.com gültige Principals sind, können sie diesen Link nicht für Mounts verwenden.

    Um dies zu korrigieren, wird mit dem Befehl nfshostmap der Principal zum Verarbeiten dieser Situation zugeordnet.

    1. Unter alpha.austin.ibm.comwurde der folgende Befehl ausgeführt: 
      nfshostmap -a beta.austin.ibm.com fast_beta.test.austin.ibm.com
      Dadurch wird alpha.austin.ibm.com mitgeteilt, dass fast_beta.test.austin.ibm.com der Principal für beta.austin.ibm.com ist.
    2. Unter Beta wurde der folgende Befehl ausgeführt:
      nfshostmap -a alpha.austin.ibm.com fast_alpha.test.austin.ibm.com

    Server können mehrere Host-Principals enthalten. Angenommen, die IP-Adresse für fast_alpha ist 10.0.0.1 und die IP-Adresse für fast_beta ist 10.0.0.2, führen Sie die folgenden Schritte aus, um mehrere Host-Principals hinzuzufügen:

    1. Fügen Sie die Principals nfs/fast_alpha.test.austin.ibm.com und nfs/fast_beta.test.austin.ibm.com den entsprechenden Chiffrierschlüsseldateien hinzu.
    2. Führen Sie den Befehl nfshostkey auf dem alpha -Server wie folgt aus:
      nfshostkey -a -p nfs/fast_alpha.test.austin.ibm.com -i 10.0.0.1
    3. Führen Sie den Befehl nfshostkey auf dem beta -Server wie folgt aus: 
      nfshostkey -a -p nfs/fast_beta.test.austin.ibm.com -i 10.0.0.2