客户机名称和服务主体名称

使用 Kerberos 服务时，强烈建议已在所有主机上配置并运行 DNS 服务。如果使用 DNS，则必须在所有主机或未在任何主机上启用它。如果 DNS 可用，则主体应包含每台主机的全限定域名 (Fully Qualified Domain Name, FQDN)。例如，如果主机名是 boston，DNS 域名是 example.com，领域名称是 EXAMPLE.COM，则该主机的主体名称应为 host/boston.example.com@EXAMPLE.COM。本书中的示例要求对每台主机配置 DNS 并且使用 FQDN。

包含主机的 FQDN 的主体名称应与 /etc/resolv.conf 文件中说明 DNS 域名的字符串匹配。指定主体的 FQDN 时，Kerberos 服务要求 DNS 域名必须为小写字母。DNS 域名可以包含大小写字母，但在创建主机主体时只可以使用小写字母。例如，DNS 域名为 example.com、Example.COM 还是任何其他变体并不重要。主机的主体名称仍为 host/boston.example.com@EXAMPLE.COM。

Kerberos 服务可以在没有运行 DNS 服务的情况下运行。但是，一些主要功能（例如，与其他领域通信的功能）将不能工作。如果未配置 DNS，则可以将简单的主机名用作实例名称。在此情况下，主体将为 host/boston@EXAMPLE.COM。如果稍后启用 DNS，则必须删除并替换 KDC 数据库中的所有主机主体。

此外，还配置了服务管理工具，以便未运行 DNS 服务时，不会启动许多守护进程或命令。已将 kdb5_util、kadmind 和 kpropd 守护进程以及 kprop 命令配置为依赖于 DNS 服务。要充分利用使用 Kerberos 服务和 SMF 时可用的功能，必须在所有主机上配置 DNS。