test

Sun 企業辯證機制使用指南

設置跨範疇辯證

有數種將範疇鏈結在一起的方法,好讓一個範疇的使用者在另一個範疇中辯證。通常您可以建立一個由兩個範疇共享的密鑰來達到此目的。範疇之間的關係可以是階層式或是定向的(請參見 "範疇階層")。

如何建立階層式的跨範疇辯證

在此範例中,我們將要使用 ENG.EAST.ACME.COMEAST.ACME.COM 這兩個範疇。跨範疇辯證會向兩個方向同時建立,此程序必須在兩個範疇中的主 KDC 之上完成。

  1. 建立階層式跨範疇辯證的先決條件。

    此程序需要先已設置每個範疇的主 KDC。要完全測試整個過程,您必須安裝數個客戶端或從屬 KDC。

  2. 成為第一個主 KDC 之上的 root

  3. 使用 kadmin 來為兩個範疇建立能賦予許可證的許可證服務主管。

    您必須以在設置主 KDC 時所建立的其中一個管理主管名稱來登入。


    # /usr/krb5/sbin/kadmin -p kws/admin
Enter password: <輸入 kws/admin 密碼>kadmin: 
addprinc krbtgt/ENG.EAST.ACME.COM@EAST.ACME.COM
Enter password for principal krgtgt/ENG.EAST.ACME.COM@EAST.ACME.COM: <鍵入密碼> 
kadmin:addprinc krbtgt/EAST.ACME.COM@ENG.EAST.ACME.COM 
Enter password for principal krgtgt/EAST.ACME.COM@ENG.EAST.ACME.COM:<鍵入密碼>
kadmin: quit
    註解 -

    為每個服務主管所輸入的密碼必須與兩個 KDC 中的一致;亦即兩個範疇中的 krbtgt/ENG.EAST.ACME.COM@EAST.ACME.COM 密碼必須一模一樣。

  4. 將項目新增至 Kerberos 設置檔案中以定義每個範疇 (krb5.conf) 的領域名稱。


    # cat /etc/krb5/krb5.conf
[libdefaults]
 .
 .
[domain_realm]
        .eng.east.acme.com = ENG.EAST.ACME.COM
        .east.acme.com = EAST.ACME.COM

    在此範例中,ENG.EAST.ACME.COMEAST.ACME.COM 範疇的領域名稱被經過定義。您必須先包括子領域,因為檔案是由上向下搜尋的。

  5. 將 Kerberos 設置檔案複製至此範疇中的所有客戶端。

    為了讓跨範疇辯證能夠正常運作,所有的系統(包括從屬 KDC 及其他伺服器)必須有所安裝的新版 Kerberos 設置檔案 (/etc/krb5/krb5.conf)。

  6. 在第二個範疇中重覆這些步驟。

如何建立直接的跨範疇辯證

此範例使用兩個範疇﹕ENG.EAST.ACME.COMSALES.WEST.ACME.COM。跨範疇辯證會向兩個方向同時建立,此程序必須在兩個範疇中的主 KDC 之上完成。

  1. 建立直接跨範疇辯證的先決條件。

    此程序需要先已設置每個範疇的主 KDC。要完全測試整個過程,您必須安裝數個客戶端或從屬 KDC。

  2. 成為其中一個主 KDC 伺服器之上的超級使用者。

  3. 使用 kadmin 來為兩個範疇建立能賦予許可證的許可證服務主管。

    您必須以在設置主 KDC 時所建立的其中一個管理主管名稱來登入。


    # /usr/krb5/sbin/kadmin -p kws/admin
Enter password: <輸入 kws/admin 密碼> 
kadmin:addprinc krbtgt/ENG.EAST.ACME.COM@SALES.WEST.ACME.COM 
Enter password for principal
krgtgt/ENG.EAST.ACME.COM@SALES.WEST.ACME.COM:< 鍵入密碼> 
kadmin:addprinc krbtgt/SALES.WEST.ACME.COM@ENG.EAST.ACME.COM 
Enter password for principal 
krgtgt/SALES.WEST.ACME.COM@ENG.EAST.ACME.COM:< 鍵入密碼> 
kadmin:quit
    註解 -

    為每個服務主管所輸入的密碼必須與兩個 KDC 中的一致;亦即 krbtgt/ENG.EAST.ACME.COM@SALES.WEST.ACME.COM 的密碼必須和兩個範疇中的一模一樣。

  4. 在 Kerberos 設置檔案中新增項目以定義的遠端範疇的直接路徑 (kdc.conf)。

    此範例是供 ENG.EAST.ACME.COM 範疇中的客戶端參考。您必須調換範疇名稱以取得 SALES.WEST.ACME.COM 範疇中的正確定義。


    # cat /etc/krb5/krb5.conf
[libdefaults]
 .
 .
[capaths]
    ENG.EAST.ACME.COM = {
        SALES.WEST.ACME.COM = .
    }

    SALES.WEST.ACME.COM = {
         ENG.EAST.ACME.COM = .
    }

  5. 將 Kerberos 設置檔案複製至目前範疇中的所有客戶端。

    為了讓跨範疇辯證能夠正常運作,所有系統(包括從屬 KDC 及其他伺服器)都必須安裝新版的 Kerberos 設置檔案 (krb5.conf)。

  6. 為第二個範疇重覆這些步驟。