이 예에서는 ENG.EAST.ACME.COM과 SALES.WEST.ACME.COM의 두 영역을 사용합니다. 영역간 인증은 양방향으로 구축돼야 하므로, 이 프로시저는 두 영역의 마스터 KDC에서 모두 수행해야 합니다.
영역간 직접 인증 구축에 필요한 조건
이 프로시저를 수행하려면 각 영역에 마스터 KDC가 구성되어 있어야 합니다. 또한 프로세스를 완전히 테스트하려면 여러 개의 클라이언트와 슬레이브 KDC를 설치해야 합니다.
한 개의 마스터 KDC 서버에서 수퍼유저가 됩니다.
kadmin을 사용하여 두 영역에 대한 티켓 부여 티켓 서비스 주체를 작성합니다.
마스터 KDC를 구성할 때 작성한 admin 주체의 이름으로 로그온해야 합니다.
# /usr/krb5/sbin/kadmin -p kws/admin 암호 입력: <kws/admin 암호를 입력합니다> kadmin: addprinc krbtgt/ENG.EAST.ACME.COM@SALES.WEST.ACME.COM 주체의 암호 입력: krgtgt/ENG.EAST.ACME.COM@SALES.WEST.ACME.COM <암호를 입력합니다> kadmin: addprinc krbtgt/SALES.WEST.ACME.COM@ENG.EAST.ACME.COM 주체의 암호 입력: krgtgt/SALES.WEST.ACME.COM@ENG.EAST.ACME.COM <암호를 입력합니다> kadmin: quit |
각 서비스 주체에 대해 입력된 암호는 두 개의 KDC에서 동일해야 합니다. 즉, krbtgt/ENG.EAST.ACME.COM@SALES.WEST.ACME.COM의 암호가 두 영역에서 동일해야 합니다.
원격 영역의 직접 경로를 정의하기 위해 Kerberos 구성 파일(kdc.conf)에 항목을 추가합니다.
다음은 ENG.EAST.ACME.COM 영역의 클라이언트에 대한 예입니다. 영역 이름을 스왑하여 SALES.WEST.ACME.COM 영역에서 적절한 정의를 얻을 수 있습니다.
# cat /etc/krb5/krb5.conf [libdefaults] . . [capaths] ENG.EAST.ACME.COM = { SALES.WEST.ACME.COM = . } SALES.WEST.ACME.COM = { ENG.EAST.ACME.COM = . } |
Kerberos 구성 파일을 현재 영역의 모든 클라이언트에 복사합니다.
영역간 인증이 작용하려면 모든 시스템(슬레이브 KDC 및 기타 서버 포함)에 새로운 버전의 Kerberos 구성 파일(krb5.conf)이 설치되어야 합니다.
두번째 영역에서 이러한 단계를 반복합니다.