客户机与服务主体名称

使用 Kerberos 服务时，所有主机上都必须启用 DNS。使用 DNS 时，主体应包含每台主机的全限定域名 (Fully Qualified Domain Name, FQDN)。例如，如果主机名是 boston，DNS 域名是 example.com，领域名称是 EXAMPLE.COM，那么主机的主体名称应该是 host/boston.example.com@EXAMPLE.COM。本书中的示例要求每台主机都已配置 DNS，且使用 FQDN。

在为关联服务构建服务主体时，Kerberos 服务将通过 DNS 标准化主机别名，并使用标准化的格式 (cname)。因此，创建服务主体时，服务主体名称的主机名部分应该是托管服务的系统的主机名标准格式。

以下是 Kerberos 服务如何标准化主机名的示例：如果用户运行了命令 "ssh alpha.example.com"，其中 alpha.example.com 是标准化名称 beta.example.com 的 DNS 主机别名。当 ssh 调用 Kerberos 并请求 alpha.example.com 的主机服务票证时，Kerberos 服务会将 alpha.example.com 标准化为 beta.example.com，并从 KDC 请求服务主体 "host/beta.example.com" 的票证。

对于包括主机 FQDN 的主体名称，与 /etc/resolv.conf 文件中描述 DNS 域名的字符串相匹配是非常重要的。为主体指定 FQDN 时，Kerberos 服务要求 DNS 域名使用小写字母。DNS 域名可以包括大写和小写字母，但是创建主机主体时只能使用小写字母。例如，DNS 域名 example.com、Example.COM 或其他任何变体都是等效的。主机的主体名称仍将是 host/boston.example.com@EXAMPLE.COM。

此外，还配置了服务管理工具，以便未运行 DNS 服务时，不会启动许多守护进程或命令。kdb5_util、kadmind 和 kpropd 守护进程，以及 kprop 命令都配置为依赖于 DNS 服务。要充分利用 Kerberos 服务和 SMF 提供的功能，必须在所有主机上启用 DNS 客户机服务。