Création d'un objet Domaine

Le type de codage par défaut pris en charge est DES-CBC-CRC.

1. Dans iManager, cliquez sur Kerberos Management (Gestion Kerberos) > New Realm (Nouveau domaine) pour ouvrir la page correspondante.

2. Indiquez un nom pour le domaine Kerberos à créer.

   Le nom de domaine doit être identique à celui que vous voulez utiliser pour configurer cette méthode de login et doit être conforme aux conventions RFC 1510.

3. Indiquez un mot de passe principal pour le domaine, puis confirmez-le.

   NOTE:  veillez à utiliser un mot de passe principal complexe.

4. Indiquez la sous-arborescence avec laquelle vous souhaitez configurer le domaine Kerberos ou utilisez l'icône Sélecteur d'objet pour la sélectionner.

   Il s'agit du FDN de la sous-arborescence ou du conteneur qui renferme les principaux de service eDirectory de ce domaine. Cette sous-arborescence n'est pas applicable aux principaux Utilisateur.

   Si vous ne sélectionnez pas de sous-arborescence ni de conteneur, la racine de l'arborescence est utilisée par défaut.

5. Indiquez l'étendue de la recherche dans la sous-arborescence :

   • One-level (Un niveau) : recherche dans les subordonnés immédiats de la sous-arborescence du domaine.
   • Subtree (Sous-arborescence) : recherche dans l'ensemble de la sous-arborescence en commençant par la sous-arborescence du domaine.

6. Cliquez sur OK.

NOTE:  KDC Services n'est pas utilisé dans SASL-GSSAPI.

Édition d'un objet Domaine

1. Dans iManager, cliquez sur Kerberos Management (Gestion Kerberos) >Edit Realm (Éditer le domaine) pour ouvrir la page correspondante.

2. Indiquez un nom pour le domaine Kerberos à éditer ou utilisez l'icône Sélecteur d'objet pour le sélectionner.

3. Cliquez sur OK.

4. Indiquez la sous-arborescence avec laquelle vous souhaitez configurer le domaine Kerberos ou utilisez l'icône Sélecteur d'objet pour la sélectionner.

   Il s'agit du FDN de la sous-arborescence ou du conteneur qui renferme les principaux de service eDirectory de ce domaine. Cette sous-arborescence n'est pas applicable aux principaux Utilisateur.

   Si vous ne sélectionnez pas de sous-arborescence ni de conteneur, la racine de l'arborescence est utilisée par défaut.

5. Indiquez l'étendue de la recherche de la sous-arborescence.

   • One-level (Un niveau) : recherche dans les subordonnés immédiats de la sous-arborescence du domaine.
   • Subtree (Sous-arborescence) : recherche dans l'ensemble de l'arborescence en commençant par la sous-arborescence du domaine.

6. Cliquez sur OK.

7. (Facultatif) Pour éditer un autre domaine, cliquez sur Repeat Task (Répéter la tâche).

NOTE:  KDC Services n'est pas utilisé dans SASL-GSSAPI.

Suppression d'un objet Domaine

1. Dans iManager, cliquez sur Kerberos Management (Gestion Kerberos) >Delete Realm (Supprimer le domaine) pour ouvrir la page correspondante.

2. Sélectionnez les domaines à supprimer.

   Pour en sélectionner plusieurs, appuyez sur la touche Maj et sélectionnez les domaines ou appuyez sur Maj et sur les touches fléchées.

3. Cliquez sur OK.

4. Cliquez de nouveau sur OK pour confirmer la suppression ou sur Annuler pour annuler cette opération.

IMPORTANT:  la suppression d'un objet Domaine efface également tous les objets Principal de service qu'il contient.

Création d'un principal de service pour un serveur LDAP

L'outil d'administration Kerberos disponible avec votre KDC permet de créer le principal de service eDirectory avec DES-CBC-CRC comme type de codage et Normal comme type de valeur aléatoire (salt).

Le nom du principal doit être ldap/MONHÔTE.MONDOMAINEDNS@NOMDOMAINE.

Par exemple, si vous utilisez un KDC MIT, exécutez la commande suivante :

kadmin:addprinc -randkey -e des-cbc-crc:normal ldap/server.novell.com@DOMAINEMIT

Par exemple, si vous utilisez un KDC Heimdal, exécutez la commande suivante :

kadmin -lkadmin> add --random-key ldap/server.novell.com@DOMAINEMIT

Pour supprimer les types de codage non pris en charge pour le principal de service, exécutez la commande suivante :

kadmin> del_enctype ldap/MONHÔTE.MONDOMAINEDNS@MONDOMAINE des-cbc-md4kadmin> del_enctype ldap/MONHÔTE.MONDOMAINEDNS@MONDOMAINE des-cbc-md5kadmin> del_enctype ldap/MONHÔTE.MONDOMAINEDNS@MONDOMAINE des3-cbc-sha1

où MONHÔTE.MONDOMAINEDNS est le nom d'hôte et MONDOMAINE, le domaine Kerberos.

Recommandation

Il est recommandé de changer régulièrement les clés de principal de service LDAP. Lors de leur changement, veillez à mettre à jour l'objet Principal dans eDirectory.

Extraction de la clé du principal de service pour eDirectory

L'outil d'administration Kerberos disponible avec votre KDC permet d'extraire la clé du principal de service LDAP créé à la section Création d'un principal de service pour un serveur LDAP, puis de la stocker dans le système de fichiers local. Votre administrateur Kerberos peut vous aider à effectuer cette opération.

Par exemple, si vous utilisez un KDC MIT, exécutez la commande suivante :

kadmin: ktadd -k /chemin_répertoire/nom_fichier_keytab -e des-cbc-crc:normal ldap/server.novell.com@DOMAINEMIT

Par exemple, si vous utilisez un KDC Microsoft, créez un utilisateur ldapMONHÔTE dans Active Directory, puis exécutez la commande suivante :

ktpass -princ ldap/MONHÔTE.MONDOMAINEDNS@MONDOMAINE -mapuser ldapMONHÔTE -pass mon_mot_de_passe -out MONHÔTE.keytab

Cette commande assigne le principal (ldap/MONHÔTE.MONDOMAINEDNS@MONDOMAINE) au compte utilisateur (ldapMONHÔTE), définit le mot de passe de principal hôte en mon_mot_de_passe et extrait la clé dans le fichier MONHÔTE.keytab.

Par exemple, si vous utilisez un KDC Heimdal, exécutez la commande suivante :

kadmin> ext_keytab -k /chemin_répertoire/nom_fichier_keytab ldap/server.novell.com@DOMAINEMIT

où nom_fichier_keytab est le nom du fichier qui contient la clé extraite.

Création d'un objet Principal de service dans eDirectory.

Vous devez créer un principal de service Kerberos avec un nom identique (ldap/MONHÔTE.MONDOMAINEDNS@MONDOMAINE) à celui indiqué à la section Création d'un principal de service pour un serveur LDAP.

Recommandation

Les principaux de service pour eDirectory doivent être aisément accessibles à tous les serveurs activés pour le mécanisme SASL-GSSAPI. S'ils ne sont pas créés sous le conteneur Domaine Kerberos dans le conteneur Sécurité, il est vivement recommandé de créer le conteneur qui les renferme en tant que partition distincte et de le répliquer largement.

1. Dans iManager, cliquez sur Kerberos Management (Gestion Kerberos) > New Principal (Nouveau principal) pour ouvrir la page correspondante.

2. Indiquez le nom du principal à créer.

   Le nom du principal doit avoir le format suivant : ldap/MONDOMAINEDNS@NOMDOMAINE.

3. Indiquez le nom du conteneur qui renfermera l'objet Principal créé ou utilisez l'icône Sélecteur d'objet pour le sélectionner.

4. Indiquez le nom du domaine.

   Si vous l'avez déjà spécifié à l'étape 2, laissez ce champ vide.

5. Effectuez l'une des opérations suivantes :

   • Indiquez le nom du fichier keytab ou cliquez sur Parcourir pour sélectionner son emplacement de stockage.

     Il s'agit du fichier qui contient la clé extraite à la section Extraction de la clé du principal de service pour eDirectory.

   • Spécifiez le mot de passe, confirmez-le, puis sélectionnez les types de codage et de valeur aléatoire (salt).

     Le mot de passe et la combinaison types de codage/de valeur aléatoire doivent être identiques à ceux spécifiés lors de la création du principal de service dans la base de données KDC.

6. Cliquez sur OK.

Affichage des clés de principal de service Kerberos

1. Dans iManager, cliquez sur Kerberos Management (Gestion Kerberos) > View Principal Keys (Afficher les clés de principal) pour ouvrir la page correspondante.

2. Indiquez le nom de la clé de principal à afficher ou utilisez l'icône Sélecteur d'objet pour le sélectionner.

   Les informations suivantes sur les clés de principal s'affichent :

   • Principal name (Nom du principal)
   • Key Table (Table de clés)
     • Number (Numéro) : numéro de série de la clé dans la table
     • Version : version de la clé
     • Key Type (Type de clé) : type de la clé de principal
     • Salt Type (Type de valeur aléatoire) : type de valeur aléatoire de la clé de principal

3. Cliquez sur OK.

Suppression d'un objet Principal de service Kerberos

Vous pouvez supprimer un ou plusieurs objets, ou encore, effectuer une sélection avancée des objets Principal à effacer.

Pour supprimer un seul objet Principal :

1. Dans iManager, cliquez sur Kerberos Management (Gestion Kerberos) > Delete Principal (Supprimer le principal) pour ouvrir la page correspondante.

2. Cliquez sur Select a Single Object (Sélectionner un seul objet).

3. Indiquez le nom de l'objet Principal à supprimer ou utilisez l'icône Sélecteur d'objet pour le sélectionner.

4. Cliquez sur OK.

5. Cliquez de nouveau sur OK pour confirmer la suppression ou sur Annuler pour annuler cette opération.

Pour supprimer plusieurs objets Principal :

1. Dans iManager, cliquez sur Kerberos Management (Gestion Kerberos) > Delete Principal (Supprimer le principal) pour ouvrir la page correspondante.

2. Cliquez sur Select Multiple Objects (Sélectionner plusieurs objets).

3. Indiquez le nom des objets Principal à supprimer ou utilisez l'icône Sélecteur d'objet pour les sélectionner.

4. Sélectionnez les objets Principal à supprimer.

5. Cliquez sur OK.

6. Cliquez de nouveau sur OK pour confirmer la suppression ou sur Annuler pour annuler cette opération.

Pour supprimer un principal en utilisant la sélection avancée :

1. Dans iManager, cliquez sur Kerberos Management (Gestion Kerberos) > Delete Principal (Supprimer le principal) pour ouvrir la page correspondante.

2. Cliquez sur Advanced Selection (Sélection avancée).

3. Sélectionnez la classe d'objet.

4. Indiquez le conteneur qui renferme l'objet Principal ou utilisez l'icône Sélecteur d'objet pour le sélectionner.

5. Cliquez sur Include subcontainers (Inclure les sous-conteneurs) pour englober les sous-conteneurs du conteneur spécifié à l'étape 3.

6. Cliquez sur le bouton pour ouvrir la fenêtre Advanced Selection Criteria (Critères de sélection avancés).

7. Sélectionnez le type d'attribut et l'opérateur dans la liste déroulante, puis fournissez les valeurs correspondantes.

8. Cliquez sur le bouton Add Row (Ajouter une ligne) pour inclure d'autres groupes logiques dans la sélection.

9. Cliquez sur OK pour définir le filtre.

10. Cliquez sur Show Preview (Afficher l'aperçu) pour afficher un aperçu de la sélection avancée.

11. Cliquez sur OK.

12. Cliquez de nouveau sur OK pour confirmer la suppression ou sur Annuler pour annuler cette opération.

Définition d'un mot de passe pour le principal de service Kerberos

Si la clé de principal de service eDirectory a été réinitialisée dans votre KDC, vous devez également la mettre à jour dans eDirectory.

Pour plus d'informations sur l'extraction de clé, reportez-vous à la section Extraction de la clé du principal de service pour eDirectory.

1. Dans iManager, cliquez sur Kerberos Management (Gestion Kerberos) > Set Principal Password (Définition de mot de passe de principal) pour ouvrir la page correspondante.

2. Indiquez le nom de l'objet Principal pour lequel définir un mot de passe individuel ou utilisez l'icône Sélecteur d'objet pour le sélectionner.

3. Indiquez le nom du fichier keytab ou cliquez sur Parcourir pour accéder à son emplacement de stockage.

4. Effectuez l'une des opérations suivantes :

   • Indiquez le nom du fichier keytab qui contient la clé de principal ou cliquez sur Parcourir pour sélectionner son emplacement de stockage.

     Pour plus d'informations sur la création de principaux de service et l'extraction de clés, reportez-vous aux sections Création d'un principal de service pour un serveur LDAP et Extraction de la clé du principal de service pour eDirectory.

   • Spécifiez le mot de passe, confirmez-le, puis sélectionnez les types de codage et de valeur aléatoire.

5. Cliquez sur OK pour définir le mot de passe.

6. (Facultatif) Pour définir le mot de passe d'un autre principal, cliquez sur Repeat Task (Répéter la tâche).