规划 Kerberos 领域

领域是类似于域的逻辑网络，用于定义相同主 KDC 下的一组系统。与建立 DNS 域名一样，在配置 Kerberos 服务之前，应解决领域名称、领域数和每个领域的大小，以及各领域之间的关系（为了能够进行跨领域验证）等相关问题。

领域名称

领域名称可以包括任意 ASCII 字符串。通常，领域名称与您的 DNS 域名相同，只是领域名称采用大写。使用常见的名称时，这种约定有助于将 Kerberos 服务问题与 DNS 名称空间问题区分开来。如果不使用 DNS，或是选择使用不同的字符串，则可以使用任意字符串。但是，配置过程需要更多的工作。采用符合标准 Internet 命名结构的领域名称是明智之举。

领域数量

安装所需的领域数量由以下因素决定：

• 支持的客户机数量。如果一个领域内客户机过多，管理起来会非常困难，最终仍然需要您分割领域。确定可以支持的客户机数量的主要因素如下：

  • 每台客户机产生的 Kerberos 流量

  • 物理网络带宽

  • 主机速度

  因为每种安装都有不同的限制，所以没有任何规则可以确定客户机的最大数量。

• 客户机间的距离。如果客户机分别位于不同的地理区域，设置若干个小领域可能更有效果。

• 可作为 KDC 安装的主机数量。每个领域至少有两台 KDC 服务器，一台主服务器，一台从服务器。

建议将 Kerberos 领域与管理域结合使用。请注意，Kerberos V 领域可以跨与该领域相对应的 DNS 域的多个子域。

领域分层结构

为进行跨领域验证而配置多个领域时，需要决定如何将这些领域捆绑在一起。可以在这些领域之间建立层次化关系，以便提供指向相关域的自动路径。当然，层次化链中的所有领域都必须配置正确。自动路径可以减轻管理负担。但是，如果域有许多层，您可能不希望使用缺省路径，因为这涉及到太多的事务。

您也可以选择直接建立信任关系。当两个层次化领域之间存在的层太多或不存在层次化关系时，最好使用直接信任关系。必须在使用连接的所有主机上的 /etc/krb5/krb5.conf 文件中定义连接。因此，这需要一些额外的工作。直接信任关系又称为可传递关系。有关介绍，请参见Kerberos 领域。有关针对多个领域的配置步骤，请参见配置跨领域验证。