Kerberos 领域

领域是一个类似于域的逻辑网络，用于定义一组系统，这些系统位于同一主 KDC 下。与建立 DNS 域名一样，在配置 Kerberos 服务之前，应解决以下问题以便进行跨领域验证：领域名称、领域数和每个领域的大小以及各领域之间的关系。

领域名称

领域名称可以由任何 ASCII 字符串组成。通常，领域名称与 DNS 域名相同，只不过领域名称采用大写。使用常见的名称时，这种约定有助于将 Kerberos 服务问题与 DNS 名称空间问题区分开来。如果不使用 DNS 或选择使用其他字符串，则可以使用任何字符串。但是，配置过程需要更多工作。采用符合标准 Internet 名称结构的领域名称是明智之举。

领域数

安装需要的领域数取决于下列因素：

• 要支持的客户机数。一个领域中具有太多客户机会增加管理难度，最终会要求对领域进行分割。确定可以支持的客户机数的主要因素如下：

  • 每台客户机产生的 Kerberos 通信量

  • 物理网络的带宽

  • 主机的速度

  由于每种安装都有不同的限制，所以不存在确定最大客户机数的原则。

• 客户机间相隔的距离。如果客户机位于不同的地理区域中，则可以设置几个较小的领域。

• 可作为 KDC 安装的主机数。每个领域中应至少有两台 KDC 服务器：一台主服务器和一台从服务器。

建议将 Kerberos 领域与管理域结合使用。请注意，Kerberos V 领域可以跨与该领域相对应的 DNS 域的多个子域。

领域分层结构

为进行跨领域验证而配置多个领域时，需要决定如何将这些领域绑定在一起。可以在这些领域之间建立分层关系，以便提供到相关域的自动路径。当然，必须正确配置分层链中的所有领域。自动路径可以减轻管理负担。但是，如果域有许多层，您可能不想使用缺省路径，因为它需要太多事务。

您也可以选择直接建立连接。当两个分层领域之间存在的层太多或不存在分层关系时，直接连接最有用。必须在使用连接的所有主机上的 /etc/krb5/krb5.conf 文件中定义连接。因此，还需要执行一些其他工作。有关介绍，请参见Kerberos 领域。有关多个领域的配置过程，请参见配置跨领域验证。