SEAM 配置决定

在安装 SEAM 之前，您必须解决多个配置事宜。尽管初始安装之后更改配置并非不可能，但随着每个新的客户机被添加到系统，会变得更加困难。另外，有些变更要求一个完全的重新安装，因而规划时就考虑长期目标较为妥当。

区域

区域是一个逻辑网络，类似于域，对同一主 KDC 下的一组系统进行定义。与建立一个 DNS 域名的情形相同，诸如区域名称，每个区域的号码和大小，以及一个区域与其它区域的关系等事宜，应当在安装 SEAM 之前加以解决。

区域名称

区域名称可以是任何 ASCII 字符串。通常与您的 DNS 域名相同，且为大写。这有助于在使用一个熟悉的名称的同时，将 SEAM 的问题与 DNS 名称空间的问题区分开来。如果您不使用 DNS 或选用使一个不同的字符串，则您可以使用任何字符串，尽管使用遵循标准因特网命名结构的区域名称较为明智。

区域的数目

您的安装所要求的区域的数目取决于多个因素:

• 要支持的客户机的数目。如果一个区域中的客户机过多，就使得管理更加困难且最终要求分割区域。确定可以支持的客户机的数目的主要因素为: 每个客户机所生成的 SEAM 数据量，物理网络的带宽以及主机的速度。因为每个安装将拥有不同的限制，确定客户机的最大数目并没有一定之规。

• 客户机彼此相隔的距离。如果客户机位于一个不同的地理区域，则设置多个小的区域可能会有道理。

• 可以作为 KDC 加以安装的主机的数目。每个区域应当拥有至少两个 KDC 服务器 (主和从)。

区域分级结构

当配置多重区域时，您必须决定如何将区域连接在一起。您可以在区域之间建立一个分级关系，提供到相关域的自动路径，但是这要求分级链中的所有区域得到适当配置。自动路径可以减轻管理负担; 然而，如果域的层次有很多，则您可能会不想使用默认的路径，因为这要求太多的事务。

您还可以选择直接建立连接。当在两个分级域之间存在着太多的层次或没有分级关系时，直接连接就最有用。连接必须在所有使用该连接的主机上的 /etc/krb5/krb5.conf 中予以定义，因而要求进行一些附加的工作。请参见 "区域"，了解介绍，以及 "配置跨区鉴别"，了解用于多重区域的配置步骤。

将主机名映射到区域

将主机名映射到区域名称在 krb5.conf 文件的 domain_realm 一节中得到定义。映射既可以是为整个域定义的，也可以是为单个主机定义的，而这取决于具体要求。请参见 krb5.conf(4) 手册页，了解更多的信息。

客户机和服务授权对象名称

当使用 SEAM 时，最好是 DNS 服务在所有主机上均已得到配置且正在运行。如果 DNS 已被使用，则其必须在所有系统上均得到启用，或者所有的系统都不要启用。如果 DNS 可用，则授权对象应当包含每个主机的完全合格域名 (FQDN)。例如，如果主机名为 boston， DNS 域名为 acme.com，且区域名称为ACME.COM，则主机的授权对象名称应为 host/boston.acme.com@ACME.COM。本书中的示例使用每个主机的 FQDN。

对于包括主机的 FQDN 的授权对象名称，使其与 /etc/resolv.conf 中描述 DNS 域名的字符串相匹配很重要来。该字符串对大小写敏感。 SEAM 要求 DNS 域名为小写字母，因而当录入一个授权对象的 FQDN 时，只能使用小写字母。

没有 DNS 服务， SEAM 也可以运行，但是某些密钥功能，比如与其它区域通信的能力，将失效。如果 DNS 未经配置，则可以将一个简单的主机名用作实例名称。这样的话，授权对象会是 host/boston@ACME.COM。如果 DNS 日后得到启用，则所有主机授权对象必须在 KDC 数据库予以删除和重置。

用于 KDC 和 Admin 服务的端口

默认情况是，端口 88 和端口 750 用于 KDC，而端口 749 用于 KDC 管理守候程序。可以使用不同的端口号码，但是对其进行更改，要求每个客户机上的 /etc/services 和 /etc/krb5/krb5.conf 文件也得到更改。另外每个 KDC 上的 /etc/krb5/kdc.conf 文件也必须得到更新。

从 KDC

从 KDC 为客户机生成资格的情形，就类似于主 KDC。从 KDC 提供备份，以防主 KDC 不可用。每个区域应当拥有至少一个从 KDC。可能会要求有附加的从 KDC，这取决于下列因素:

• 区域中物理段的数目。通常，网络应当设置为没有区域的其它部分，每个段同样可以工作，至少在最低限度上如此。如要做到这一点，要求有一个可以从每个段进行访问的 KDC，本实例中的 KDC 既可以是一个主 KDC，也可以是一个从 KDC。

• 区域中客户机的数目。添加更多的从 KDC 服务器可以降低当前服务器上的负载。

所添加的从 KDC 有可能过多。请记住， KDC 数据库必须被传播到每个服务器，因而所安装的 KDC 服务器越多，其让数据在全区域范围内得到更新所花费的时间就可能越长。另外，因为每个从 KDC 均保留 KDC 数据库的一个副本，较多的从 KDC 增加了安全折衷的风险。

另外，可以将一个或多个从 KDC 配置为轻松地与主 KDC 进行交换。在至少一个从 KDC 上执行下列本步骤的优势在于，如果主 KDC 由于某种原因而出现故障，您将拥有一个经过预配置的系统，可以轻松地将其交换为主 KDC。请参见"交换主 KDC 和从 KDC"，了解有关如何配置一个可交换从 KDC 的操作指示。

数据库传播

存储在主 KDC 上的数据库必须正常地传播到从 KDC。其中首先要解决的一个事宜就是更新从 KDC 的频率。让所有客户机均可以得到最新信息的愿望，需要与完成更新所花费的时间进行权衡。请参见"管理 Kerberos 数据库"，了解更多关于数据库传播的信息。

在大型安装的情况下，一个区域中有很多的 KDC，让一个或多个从 KDC 传播数据，以便并行完成这一过程，是有可能的。这就降低了更新所花费的时间量，但也增加了管理区域的复杂程度。

时钟同步

在一个指定的最大时间量 (即 时钟相位差) 内，参与 Kerberos 鉴别系统的所有主机必须让其内部时钟同步化，这就提供了另一个 Kerberos 安全检查。如果时钟相位差在其中任意参与主机之间被超过，则请求遭到拒绝。

使所有时钟同步的一个方法就是使用网络时间协议 (NTP) 软件 (请参见"使 KDC 和 SEAM 客户机之间时钟同步"，了解更多的信息)。也可以使用其它使时钟同步的方法，因而并不要求一定要使用 NTP。应当采用某些形式的同步，以避免因时钟相位差而发生的访问失败。

SEAM 预配置步骤

SEAM 产品包括一个预配置步骤，用于将信息存储在一个 NFS 服务器上。然后该信息就可以为软件安装正文所使用。该步骤是可选的，但是强烈推荐使用，因为这可以在安装过程中节省时间并降低手工数据录入所导致的错误。