Kerberos 领域

领域是定义属于同一主 KDC 的一组系统的逻辑网络，类似于域。图 20–3 显示了各领域相互之间的关系。有些领域是分层的，其中，一个领域是另一个领域的超集。另外一些领域是不分层（或“直接”）的，必须定义两个领域之间的映射。Kerberos 服务的一种功能是它允许进行跨领域验证。每个领域只需在其 KDC 中有对应于另一个领域的主体项即可。此 Kerberos 功能称为跨领域验证。

图 20–3 Kerberos 领域

Kerberos 领域和服务器

每个领域都必须包括一台用于维护主体数据库的主副本的服务器。此服务器称为主 KDC 服务器。此外，每个领域还应至少包含一台从 KDC 服务器，该服务器包含主体数据库的多个副本。主 KDC 服务器和从 KDC 服务器都可创建用于建立验证的票证。

领域还可以包含两种其他类型的 Kerberos 服务器。Kerberos 网络的应用程序服务器是用于提供对基于 Kerberos 的应用程序（如 ftp、telnet 和 rsh）的访问的服务器。领域还可以包括 NFS 服务器，该服务器使用 Kerberos 验证来提供 NFS 服务。如果安装了 SEAM 1.0 或 1.0.1，则领域可能会包括 Kerberos 网络应用程序服务器。

下图显示了一个假设的领域可能包含的内容。

图 20–4 典型的 Kerberos 领域