跳过导航链接 | |
退出打印视图 | |
系统管理指南:安全性服务 Oracle Solaris 10 8/11 Information Library (简体中文) |
领域是类似于域的逻辑网络,用于定义相同主 KDC 下的一组系统。与建立 DNS 域名一样,在配置 Kerberos 服务之前,应解决领域名称、领域数和每个领域的大小,以及各领域之间的关系(为了能够进行跨领域验证)等相关问题。
领域名称可以包括任意 ASCII 字符串。通常,领域名称与您的 DNS 域名相同,只是领域名称采用大写。使用常见的名称时,这种约定有助于将 Kerberos 服务问题与 DNS 名称空间问题区分开来。如果不使用 DNS,或是选择使用不同的字符串,则可以使用任意字符串。但是,配置过程需要更多的工作。采用符合标准 Internet 命名结构的领域名称是明智之举。
安装所需的领域数量由以下因素决定:
支持的客户机数量。如果一个领域内客户机过多,管理起来会非常困难,最终仍然需要您分割领域。确定可以支持的客户机数量的主要因素如下:
每台客户机产生的 Kerberos 流量
物理网络带宽
主机速度
因为每种安装都有不同的限制,所以没有任何规则可以确定客户机的最大数量。
客户机间的距离。如果客户机分别位于不同的地理区域,设置若干个小领域可能更有效果。
可作为 KDC 安装的主机数量。每个领域至少有两台 KDC 服务器,一台主服务器,一台从服务器。
建议将 Kerberos 领域与管理域结合使用。请注意,Kerberos V 领域可以跨与该领域相对应的 DNS 域的多个子域。
为进行跨领域验证而配置多个领域时,需要决定如何将这些领域捆绑在一起。可以在这些领域之间建立分层关系,以便提供指向相关域的自动路径。当然,分层链中的所有领域都必须配置正确。自动路径可以减轻管理负担。但是,如果域有许多层,您可能不希望使用缺省路径,因为这涉及到太多的事务。
您也可以选择直接建立信任关系。当两个分层领域之间存在的层太多或不存在分层关系时,最好使用直接信任关系。必须在使用连接的所有主机上的 /etc/krb5/krb5.conf 文件中定义连接。因此,这需要一些额外的工作。直接信任关系又称为可传递关系。有关介绍,请参见Kerberos 领域。有关多个领域的配置步骤,请参见配置跨领域验证。