next up previous contents
Next: Standorte Up: Fazit Previous: Erstellen eigener Domänen   Contents

Einstellungen an den Clienten

Als Abschluss sollen noch ein paar Hinweise zur Konfiguration der Clientensysteme, egal ob Windows XP, Windows 2000 oder Windows 2003, untergebracht werden. Diese stehen im Zusammenhang mit den notwendigen Einstellungen, um sie in einer Umgebung zu betreiben, in der gegen einen externen Kerberos-Server authentifiziert werden soll. Es geht aber auch nochmal um die Konfiguration des DNS-Zugriffs auf den Clienten.

Wie bereits mehrfach erwähnt, ist es nicht notwendig, dass ein Domänenmitglied im selben Namensraum steht, wie die Domäne. So ist es möglich, einen Clienten "`host.informatik. tu-chemnitz.de"' in eine Domäne "`ad.hrz.tu-chemnitz.de"' zu integrieren. Dazu muss nur die Kopplung zwischen der angeschlossenen Domäne und dem DNS-Suffix aufgehoben werden, was mittels des Löschens eines Hakens in den erweiterten Einstellungen des Computernamen-Tabulators in den Systemeigenschaften der Systemsteuerung möglich ist, wie Abbildung 6.8 zeigt.

Figure 6.8: Entkopplung von DNS-Suffix und Domainnamen
\resizebox*{0.45\textwidth}{0.25\textheight}{\includegraphics{images/dnssuffix2}} \resizebox*{0.45\textwidth}{0.25\textheight}{\includegraphics{images/dnssuffix2.eps}}

Weiterhin sollte jedes Clientensystem im Campusnetz so konfiguriert werden, dass es auf die zentralen DNS-Serverkomponenten zugreift. Selbst bei der Entscheidung für den Betrieb von dezentralen DNS-Servern für die einzelnen Subdomänen, wird das zentrale DNS-System die sinnvolle Zuweisung zu den entsprechenden Servern sicherstellen. Sind Clienten aber für den Zugriff auf beispielsweise einen Subdomänen-DNS konfiguriert, verursacht dessen eventuelle Fehlkonfiguration erhebliche Probleme für alle angeschlossenen Systeme. Daher sei hier nochmal auf die Einrichtung der DNS-Weiterleitung verwiesen.

Ein letzter aber wesentlicher Punkt der Konfiguration der Clientensysteme ist die Einrichtung der Authentifizierung gegen einen externen Kerberos-Server. Dazu stehen, wie in 5.6.2 erwähnt, zwei denkbare Wege zur Verfügung:

$Ksetup$ ist Bestandteil der Support Tools von Windows 2003 und Windows XP und wird nur bei dessen vollständigen Installation bereitgestellt. Die Syntax ist einfach und im Groben reicht der Aufruf

ksetup /AddKdc KERBEROS-REALM kdc.domain.tld
für jeden KDC des externen Kerberos-Realm, um die Einrichtung vorzunehmen. So wäre es beispielhaft
ksetup /AddKdc TU-CHEMNITZ.DE kerberos.tu-chemnitz.de
ksetup /AddKdc TU-CHEMNITZ.DE kerberos-1.tu-chemnitz.de
ksetup /AddKdc TU-CHEMNITZ.DE kerberos-2.tu-chemnitz.de
für den Heimdal-Kerberos-Realm des URZ. Damit wird im Anmeldefenster des entsprechenden Rechners eine Anmeldedomain hinzugefügt, die den Namen des Kerberos-Realms trägt und als solche ausgewiesen ist und ihre Authentifizierungsanfragen an einen verfügbaren KDC der Liste sendet.

Die Alternative besteht aus der Einrichtung der notwendigen Einträge für diese Anmeldedomain direkt in der Registry. Auch hierfür sind mehrere Wege vorstellbar. So können die Einträge etwa manuell mittels des $regedit$-Werkzeugs angelegt werden oder diese Arbeit einmalig erfolgen, dann die Änderungen exportiert und mittels $.reg$-File bereitgestellt werden, wodurch sie auf weiteren Clienten einfach durch Aufruf des Files erzeugt werden können. Dieses reg-File könnte seitens des URZ zentral bereitgestellt werden. Als weitere Form der Einrichtung wäre eine Bereitstellung eines msi-Paketes mit dem angesprochenen reg-File zentral durch das URZ vorstellbar. Somit könnte die Konfiguration aller Clienten einer Domäne sogar durch eine Gruppenrichtlinie erfolgen, in der dieses msi-Paket den Rechnern zugewiesen würde. Sogar Anpassungen an eventuell auftretende Veränderungen der Kerberos-Server-Landschaft wäre mittels eines neuen Pakets und dessen Zuweisung mittels GPO einfach realisierbar.
Unabhängig von der Methode ist es notwendig die folgenden Registry-Einträge zu erzeugen, um eine neue Anmeldedomain hinzuzufügen:
Erzeugung eines neuen Schlüssels:

${\tt HKEY\_LOCAL\_MACHINE\backslash SYSTEM\backslash
CurrentControlSet\backslash Control\backslash Lsa\backslash
Kerberos\backslash}$_
${\tt Domains\backslash KERBEROS-REALM}$
und innerhalb dieses des folgenden Wertepaares:
KdcNames REG_MULTI_SZ kdc.domain.tld
Also erneut beispielhaft am TU-CHEMNITZ.DE-Realm des URZ wäre dies
${\tt HKEY\_LOCAL\_MACHINE\backslash SYSTEM\backslash
CurrentControlSet\backslash Control\backslash Lsa\backslash
Kerberos\backslash}$_
${\tt Domains\backslash TU-CHEMNITZ.DE}$
und darin:
KdcNames REG_MULTI_SZ kerberos.tu-chemnitz.de $\backslash$ kerberos-1.tu-chemnitz.de kerberos-2.tu-chemnitz.de


next up previous contents
Next: Standorte Up: Fazit Previous: Erstellen eigener Domänen   Contents
Marko Damaschke 2006-03-25