如何配置 Kerberos 网络应用程序服务器

此过程使用以下配置参数：

• 应用程序服务器 = boston

• admin 主体 = kws/admin

• DNS 域名 = example.com

• 领域名称 = EXAMPLE.COM

开始之前

此过程要求已配置主 KDC。要完全测试该过程，必须安装多个客户机。

1. 安装 Kerberos 客户机软件。

2. （可选的）安装 NTP 客户机或其他时钟同步机制。

   有关 NTP 的信息，请参见同步 KDC 和 Kerberos 客户机的时钟。

3. 为新服务器添加主体并更新该服务器的密钥表。

   以下命令报告是否存在主机主体：

   boston # klist -k |grep host 4 host/boston.example.com@EXAMPLE.COM 4 host/boston.example.com@EXAMPLE.COM 4 host/boston.example.com@EXAMPLE.COM 4 host/boston.example.com@EXAMPLE.COM

   如果此命令未返回主体，则可以使用以下步骤创建新主体。

   有关如何使用 SEAM Administration Tool 添加主体的说明将在如何创建新的 Kerberos 主体中介绍。以下步骤中的示例说明如何使用命令行添加所需的主体。必须使用在配置主 KDC 时创建的一个 admin 主体名称登录。

   boston # /usr/sbin/kadmin -p kws/admin Enter password: <Type kws/admin password> kadmin:

   1. 创建服务器的 host 主体。

      kadmin: addprinc -randkey host/boston.example.com Principal "host/boston.example.com" created. kadmin:

   2. 将服务器的 host 主体添加到服务器的密钥表中。

      如果未运行 kadmin 命令，请使用以下类似命令重新启动该命令： /usr/sbin/kadmin -p kws/admin

      kadmin: ktadd host/boston.example.com Entry for principal host/boston.example.com with kvno 3, encryption type AES-128 CTS mode with 96-bit SHA-1 HMAC added to keytab WRFILE:/etc/krb5/krb5.keytab. Entry for principal host/boston.example.com with kvno 3, encryption type Triple DES cbc mode with HMAC/sha1 added to keytab WRFILE:/etc/krb5/krb5.keytab. Entry for principal host/boston.example.com with kvno 3, encryption type ARCFOUR with HMAC/md5 added to keytab WRFILE:/etc/krb5/krb5.keytab. Entry for principal host/boston.example.com with kvno 3, encryption type DES cbc mode with RSA-MD5 added to keytab WRFILE:/etc/krb5/krb5.keytab. kadmin:

   3. 退出 kadmin。

      kadmin: quit