有數種將範疇鏈結在一起的方法,好讓一個範疇的使用者在另一個範疇中辯證。通常您可以建立一個由兩個範疇共享的密鑰來達到此目的。範疇之間的關係可以是階層式或是定向的(請參見 "範疇階層")。
在此範例中,我們將要使用 ENG.EAST.ACME.COM 及 EAST.ACME.COM 這兩個範疇。跨範疇辯證會向兩個方向同時建立,此程序必須在兩個範疇中的主 KDC 之上完成。
建立階層式跨範疇辯證的先決條件。
此程序需要先已設置每個範疇的主 KDC。要完全測試整個過程,您必須安裝數個客戶端或從屬 KDC。
成為第一個主 KDC 之上的 root。
使用 kadmin 來為兩個範疇建立能賦予許可證的許可證服務主管。
您必須以在設置主 KDC 時所建立的其中一個管理主管名稱來登入。
# /usr/krb5/sbin/kadmin -p kws/admin Enter password: <輸入 kws/admin 密碼>kadmin: addprinc krbtgt/ENG.EAST.ACME.COM@EAST.ACME.COM Enter password for principal krgtgt/ENG.EAST.ACME.COM@EAST.ACME.COM: <鍵入密碼> kadmin:addprinc krbtgt/EAST.ACME.COM@ENG.EAST.ACME.COM Enter password for principal krgtgt/EAST.ACME.COM@ENG.EAST.ACME.COM:<鍵入密碼> kadmin: quit |
為每個服務主管所輸入的密碼必須與兩個 KDC 中的一致;亦即兩個範疇中的 krbtgt/ENG.EAST.ACME.COM@EAST.ACME.COM 密碼必須一模一樣。
將項目新增至 Kerberos 設置檔案中以定義每個範疇 (krb5.conf) 的領域名稱。
# cat /etc/krb5/krb5.conf [libdefaults] . . [domain_realm] .eng.east.acme.com = ENG.EAST.ACME.COM .east.acme.com = EAST.ACME.COM |
在此範例中,ENG.EAST.ACME.COM 及 EAST.ACME.COM 範疇的領域名稱被經過定義。您必須先包括子領域,因為檔案是由上向下搜尋的。
將 Kerberos 設置檔案複製至此範疇中的所有客戶端。
為了讓跨範疇辯證能夠正常運作,所有的系統(包括從屬 KDC 及其他伺服器)必須有所安裝的新版 Kerberos 設置檔案 (/etc/krb5/krb5.conf)。
在第二個範疇中重覆這些步驟。
此範例使用兩個範疇﹕ENG.EAST.ACME.COM 及 SALES.WEST.ACME.COM。跨範疇辯證會向兩個方向同時建立,此程序必須在兩個範疇中的主 KDC 之上完成。
建立直接跨範疇辯證的先決條件。
此程序需要先已設置每個範疇的主 KDC。要完全測試整個過程,您必須安裝數個客戶端或從屬 KDC。
成為其中一個主 KDC 伺服器之上的超級使用者。
使用 kadmin 來為兩個範疇建立能賦予許可證的許可證服務主管。
您必須以在設置主 KDC 時所建立的其中一個管理主管名稱來登入。
# /usr/krb5/sbin/kadmin -p kws/admin Enter password: <輸入 kws/admin 密碼> kadmin:addprinc krbtgt/ENG.EAST.ACME.COM@SALES.WEST.ACME.COM Enter password for principal krgtgt/ENG.EAST.ACME.COM@SALES.WEST.ACME.COM:< 鍵入密碼> kadmin:addprinc krbtgt/SALES.WEST.ACME.COM@ENG.EAST.ACME.COM Enter password for principal krgtgt/SALES.WEST.ACME.COM@ENG.EAST.ACME.COM:< 鍵入密碼> kadmin:quit |
為每個服務主管所輸入的密碼必須與兩個 KDC 中的一致;亦即 krbtgt/ENG.EAST.ACME.COM@SALES.WEST.ACME.COM 的密碼必須和兩個範疇中的一模一樣。
在 Kerberos 設置檔案中新增項目以定義的遠端範疇的直接路徑 (kdc.conf)。
此範例是供 ENG.EAST.ACME.COM 範疇中的客戶端參考。您必須調換範疇名稱以取得 SALES.WEST.ACME.COM 範疇中的正確定義。
# cat /etc/krb5/krb5.conf [libdefaults] . . [capaths] ENG.EAST.ACME.COM = { SALES.WEST.ACME.COM = . } SALES.WEST.ACME.COM = { ENG.EAST.ACME.COM = . } |
將 Kerberos 設置檔案複製至目前範疇中的所有客戶端。
為了讓跨範疇辯證能夠正常運作,所有系統(包括從屬 KDC 及其他伺服器)都必須安裝新版的 Kerberos 設置檔案 (krb5.conf)。
為第二個範疇重覆這些步驟。