如何建立直接的跨範疇辯證

此範例使用兩個範疇﹕ENG.EAST.ACME.COM 及 SALES.WEST.ACME.COM。跨範疇辯證會向兩個方向同時建立，此程序必須在兩個範疇中的主 KDC 之上完成。

1. 建立直接跨範疇辯證的先決條件。

   此程序需要先已設置每個範疇的主 KDC。要完全測試整個過程，您必須安裝數個客戶端或從屬 KDC。

2. 成為其中一個主 KDC 伺服器之上的超級使用者。

3. 使用 kadmin 來為兩個範疇建立能賦予許可證的許可證服務主管。

   您必須以在設置主 KDC 時所建立的其中一個管理主管名稱來登入。

   # /usr/krb5/sbin/kadmin -p kws/admin Enter password: <輸入 kws/admin 密碼> kadmin:addprinc krbtgt/ENG.EAST.ACME.COM@SALES.WEST.ACME.COM Enter password for principal krgtgt/ENG.EAST.ACME.COM@SALES.WEST.ACME.COM:< 鍵入密碼> kadmin:addprinc krbtgt/SALES.WEST.ACME.COM@ENG.EAST.ACME.COM Enter password for principal krgtgt/SALES.WEST.ACME.COM@ENG.EAST.ACME.COM:< 鍵入密碼> kadmin:quit

   ---

   註解 -

   為每個服務主管所輸入的密碼必須與兩個 KDC 中的一致；亦即 krbtgt/ENG.EAST.ACME.COM@SALES.WEST.ACME.COM 的密碼必須和兩個範疇中的一模一樣。

   ---

4. 在 Kerberos 設置檔案中新增項目以定義的遠端範疇的直接路徑 (kdc.conf)。

   此範例是供 ENG.EAST.ACME.COM 範疇中的客戶端參考。您必須調換範疇名稱以取得 SALES.WEST.ACME.COM 範疇中的正確定義。

   # cat /etc/krb5/krb5.conf [libdefaults] . . [capaths] ENG.EAST.ACME.COM = { SALES.WEST.ACME.COM = . } SALES.WEST.ACME.COM = { ENG.EAST.ACME.COM = . }

5. 將 Kerberos 設置檔案複製至目前範疇中的所有客戶端。

   為了讓跨範疇辯證能夠正常運作，所有系統（包括從屬 KDC 及其他伺服器）都必須安裝新版的 Kerberos 設置檔案 (krb5.conf)。

6. 為第二個範疇重覆這些步驟。