领域是一个类似于域的逻辑网络,用于定义一组系统,这些系统位于同一主 KDC 下。与建立 DNS 域名一样,在配置 Kerberos 服务之前,应解决以下问题以便进行跨领域验证:领域名称、领域数和每个领域的大小以及各领域之间的关系。
领域名称可以由任何 ASCII 字符串组成。通常,领域名称与 DNS 域名相同,只不过领域名称采用大写。使用常见的名称时,这种约定有助于将 Kerberos 服务问题与 DNS 名称空间问题区分开来。如果不使用 DNS 或选择使用其他字符串,则可以使用任何字符串。但是,配置过程需要更多工作。采用符合标准 Internet 名称结构的领域名称是明智之举。
安装需要的领域数取决于下列因素:
要支持的客户机数。一个领域中具有太多客户机会增加管理难度,最终会要求对领域进行分割。确定可以支持的客户机数的主要因素如下:
每台客户机产生的 Kerberos 通信量
物理网络的带宽
主机的速度
由于每种安装都有不同的限制,所以不存在确定最大客户机数的原则。
客户机间相隔的距离。如果客户机位于不同的地理区域中,则可以设置几个较小的领域。
可作为 KDC 安装的主机数。每个领域中应至少有两台 KDC 服务器:一台主服务器和一台从服务器。
建议将 Kerberos 领域与管理域结合使用。请注意,Kerberos V 领域可以跨与该领域相对应的 DNS 域的多个子域。
为进行跨领域验证而配置多个领域时,需要决定如何将这些领域绑定在一起。可以在这些领域之间建立分层关系,以便提供到相关域的自动路径。当然,必须正确配置分层链中的所有领域。自动路径可以减轻管理负担。但是,如果域有许多层,您可能不想使用缺省路径,因为它需要太多事务。
您也可以选择直接建立连接。当两个分层领域之间存在的层太多或不存在分层关系时,直接连接最有用。必须在使用连接的所有主机上的 /etc/krb5/krb5.conf 文件中定义连接。因此,还需要执行一些其他工作。有关介绍,请参见Kerberos 领域。有关多个领域的配置过程,请参见配置跨领域验证。