此範例使用兩個範疇﹕ENG.EAST.ACME.COM 及 SALES.WEST.ACME.COM。跨範疇辯證會向兩個方向同時建立,此程序必須在兩個範疇中的主 KDC 之上完成。
建立直接跨範疇辯證的先決條件。
此程序需要先已設置每個範疇的主 KDC。要完全測試整個過程,您必須安裝數個客戶端或從屬 KDC。
成為其中一個主 KDC 伺服器之上的超級使用者。
使用 kadmin 來為兩個範疇建立能賦予許可證的許可證服務主管。
您必須以在設置主 KDC 時所建立的其中一個管理主管名稱來登入。
# /usr/krb5/sbin/kadmin -p kws/admin Enter password: <輸入 kws/admin 密碼> kadmin:addprinc krbtgt/ENG.EAST.ACME.COM@SALES.WEST.ACME.COM Enter password for principal krgtgt/ENG.EAST.ACME.COM@SALES.WEST.ACME.COM:< 鍵入密碼> kadmin:addprinc krbtgt/SALES.WEST.ACME.COM@ENG.EAST.ACME.COM Enter password for principal krgtgt/SALES.WEST.ACME.COM@ENG.EAST.ACME.COM:< 鍵入密碼> kadmin:quit |
為每個服務主管所輸入的密碼必須與兩個 KDC 中的一致;亦即 krbtgt/ENG.EAST.ACME.COM@SALES.WEST.ACME.COM 的密碼必須和兩個範疇中的一模一樣。
在 Kerberos 設置檔案中新增項目以定義的遠端範疇的直接路徑 (kdc.conf)。
此範例是供 ENG.EAST.ACME.COM 範疇中的客戶端參考。您必須調換範疇名稱以取得 SALES.WEST.ACME.COM 範疇中的正確定義。
# cat /etc/krb5/krb5.conf [libdefaults] . . [capaths] ENG.EAST.ACME.COM = { SALES.WEST.ACME.COM = . } SALES.WEST.ACME.COM = { ENG.EAST.ACME.COM = . } |
將 Kerberos 設置檔案複製至目前範疇中的所有客戶端。
為了讓跨範疇辯證能夠正常運作,所有系統(包括從屬 KDC 及其他伺服器)都必須安裝新版的 Kerberos 設置檔案 (krb5.conf)。
為第二個範疇重覆這些步驟。