跳过导航链接 | |
退出打印视图 | |
Oracle Solaris 管理:安全服务 Oracle Solaris 11 Information Library (简体中文) |
kclient 配置实用程序是 Solaris 10 发行版的新功能。该实用程序既可以在交互模式下运行,也可以在非交互模式下运行。在交互模式下,系统会提示用户输入 Kerberos 特定的参数值,以便用户在配置客户机时能够更改现有的安装。在非交互模式下,将会使用包含事先设置的参数值的文件。另外,在非交互模式下可以使用命令行选项。无论是交互模式还是非交互模式,需要的步骤都比手动过程要少,因此可以加速操作过程,也更不容易出错。
Solaris Express Developer Edition 1/08 发行版做了一些更改,以配合零配置 Kerberos 客户机。如果您的环境遵照了下列规则,将无需对 Solaris Kerberos 客户机执行显式配置步骤:
DNS 配置为返回 KDC 的 SRV 记录。
领域名称与 DNS 域名匹配,或者 KDC 支持引用。
Kerberos 客户机不需要 keytab 文件。
有些情况下,最好显式配置 Kerberos 客户机。
如果不使用引用,零配置逻辑会根据主机的 DNS 域名来确定领域。这会带来一定的安全风险,但风险比启用 dns_lookup_realm 要小得多。
pam_krb5 模块依赖于 keytab 中的主机密钥项。这一要求可以在 krb5.conf 文件中禁用,但是出于安全原因,不建议这样做。请参见 krb5.conf(4) 手册页。
零配置过程比直接配置效率要低,且对 DNS 有更强的依赖性。该过程比直接配置客户机执行更多的 DNS 查找。
有关所有客户机配置过程的说明,请参见配置 Kerberos 客户机。