この手順の例では、CORP.EAST.EXAMPLE.COM と EAST.EXAMPLE.COM の間に双方向のレルム間認証を確立します。この手順では、両方のレルム内のマスター KDC 上で実行する必要があります。
始める前に
各レルムのマスター KDC が構成されています。認証プロセスを十分にテストするには、複数のクライアントが必要です。
両方の KDC サーバー上で root 役割になる必要があります。詳細は、Oracle Solaris 11.3 でのユーザーとプロセスのセキュリティー保護 の 割り当てられている管理権利の使用を参照してください。
マスター KDC を構成したときに作成した admin 主体名を使用して、ログインする必要があります。
# /usr/sbin/kadmin -p kws/admin Enter password: xxxxxxxx kadmin: addprinc krbtgt/CORP.EAST.EXAMPLE.COM@EAST.EXAMPLE.COM Enter password for principal krbtgt/CORP.EAST.EXAMPLE.COM@EAST.EXAMPLE.COM:/** Type strong password **/ kadmin: addprinc krbtgt/EAST.EXAMPLE.COM@CORP.EAST.EXAMPLE.COM Enter password for principal krbtgt/EAST.EXAMPLE.COM@CORP.EAST.EXAMPLE.COM:/** Type strong password **/ kadmin: quit
# pfedit /etc/krb5/krb5.conf [libdefaults] . . [domain_realm] .corp.east.example.com = CORP.EAST.EXAMPLE.COM .east.example.com = EAST.EXAMPLE.COM
この例では、CORP.EAST.EXAMPLE.COM および EAST.EXAMPLE.COM レルムのドメイン名が定義されます。このファイルは上から下に検索されるため、サブドメインはファイル内でドメイン名の前にある必要があります。
レルム間認証が機能するには、すべてのシステム (スレーブ KDC やその他のサーバーを含む) が /etc/krb5/krb5.conf のマスター KDC のバージョンを使用する必要があります。