この手順の例では、CORP.EAST.EXAMPLE.COM と SALES.WEST.EXAMPLE.COM の 2 つのレルムを使用します。レルム間認証は、双方向に確立されます。この手順は、2 つのレルムのマスター KDC 上で完了する必要があります。
始める前に
各レルムのマスター KDC が構成されています。認証プロセスを十分にテストするには、複数のクライアントが必要です。
両方の KDC サーバー上で root 役割になる必要があります。詳細は、Oracle Solaris 11.3 でのユーザーとプロセスのセキュリティー保護 の 割り当てられている管理権利の使用を参照してください。
マスター KDC を構成したときに作成した admin 主体名を使用して、ログインする必要があります。
# /usr/sbin/kadmin -p kws/admin Enter password: xxxxxxxx kadmin: addprinc krbtgt/CORP.EAST.EXAMPLE.COM@SALES.WEST.EXAMPLE.COM Enter password for principal krbtgt/CORP.EAST.EXAMPLE.COM@SALES.WEST.EXAMPLE.COM:/** Type strong password **/ kadmin: addprinc krbtgt/SALES.WEST.EXAMPLE.COM@CORP.EAST.EXAMPLE.COM Enter password for principal krbtgt/SALES.WEST.EXAMPLE.COM@CORP.EAST.EXAMPLE.COM:/** Type strong password **/ kadmin: quit
この例は、CORP.EAST.EXAMPLE.COM レルム内のクライアントを示しています。SALES.WEST.EXAMPLE.COM レルムで適切な定義を追加するには、レルム名をスワップします。
# pfedit /etc/krb5/krb5.conf
[libdefaults]
.
.
[capaths]
CORP.EAST.EXAMPLE.COM = {
SALES.WEST.EXAMPLE.COM = .
}
SALES.WEST.EXAMPLE.COM = {
CORP.EAST.EXAMPLE.COM = .
}
レルム間認証が機能するには、すべてのシステム (スレーブ KDC やその他のサーバーを含む) が Kerberos 構成ファイル /etc/krb5/krb5.conf の新しいバージョンを使用する必要があります。