test

Sun 企业鉴别机制指南

配置跨区鉴别

您拥有多个方法来将区域连接在一起,以便一个区域中的用户可以在另一区域中得到鉴别。通常这是通过建立一个供两个区域之间共享的密钥来实现的。区域的关系既可以是分级的,也可以是定向的 (请参见 "区域分级结构")。

如何建立分级跨区鉴别

对于本示例,我们将使用两个区域,ENG.EAST.ACME.COMEAST.ACME.COM。跨区鉴别将在两个方向上得到建立。本过程必须在两个区域中的主 KDC 上完成。

  1. 建立分级跨区鉴别的先决条件。

    本过程要求每个区域的主 KDC 均已配置。如要全面测试本进程,就必须安装有多个客户机或从 KDC。

  2. 在第一个主 KDC 上变为 root

  3. 使用 kadmin,为两个区域创建具有票券授予权的票券服务授权对象。

    您必须借助您在配置主 KDC 时所创建的 admin 授权对象名称中的一个进行登录。 


    # /usr/krb5/sbin/kadmin -p kws/admin
录入口令: <录入 kws/admin 口令>
kadmin: addprinc krbtgt/ENG.EAST.ACME.COM@EAST.ACME.COM
录入授权对象 krgtgt/ENG.EAST.ACME.COM@EAST.ACME.COM 的口令: <键入口令>
kadmin: addprinc krbtgt/EAST.ACME.COM@ENG.EAST.ACME.COM
录入授权对象 krgtgt/EAST.ACME.COM@ENG.EAST.ACME.COM 的口令: <键入口令>
kadmin: 退出
    注意:

    为每个服务授权对象录入的口令,在两个 KDC 中必须是相同的;这意思是指,用于 krbtgt/ENG.EAST.ACME.COM@EAST.ACME.COM 的口令,在两个区域中必须一样。

  4. 将条目添加到 Kerberos 配置文件,以为每个区域定义域名 (krb5.conf)。


    # cat /etc/krb5/krb5.conf
[libdefaults]
 .
 .
[domain_realm]
        .eng.east.acme.com = ENG.EAST.ACME.COM
        .east.acme.com = EAST.ACME.COM

    在本示例中, ENG.EAST.ACME.COMEAST.ACME.COM 区域的域名得到定义。首先要包括子域,这一点很重要,因为文件是从上至下得到搜索的。

  5. 将 Kerberos 配置文件复制到本区域中的所有客户机。

    为了让跨区鉴别能够工作,所有系统 (其中包括从 KDC 及其它的服务器) 必须安装有新版本的 Kerberos 配置文件 (/etc/krb5/krb5.conf)。

  6. 在第二个区域中重复这些步骤。

如何建立直接的跨区鉴别

该示例使用两个区域: ENG.EAST.ACME.COMSALES.WEST.ACME.COM。跨区鉴别将在两个方向上得到建立。本过程必须在两个区域中的主 KDC 上完成。

  1. 建立直接的跨区鉴别的先决条件。

    本过程要求每个区域的主 KDC 均已配置。如要全面测试本进程,就必须安装与多个客户机或从 KDC。

  2. 在其中一个主 KDC 服务器上变为超级用户。

  3. 使用 kadmin,为两个区域创建具有票券授予权的票券服务授权对象。

    您必须借助您在配置主 KDC 时所创建的 admin 授权对象名称中的一个进行登录。 


    # /usr/krb5/sbin/kadmin -p kws/admin
录入口令: <录入 kws/admin 口令>
kadmin: addprinc krbtgt/ENG.EAST.ACME.COM@SALES.WEST.ACME.COM
录入授权对象
    krgtgt/ENG.EAST.ACME.COM@SALES.WEST.ACME.COM 的口令: <键入口令>
kadmin: addprinc krbtgt/SALES.WEST.ACME.COM@ENG.EAST.ACME.COM
录入授权对象
    krgtgt/SALES.WEST.ACME.COM@ENG.EAST.ACME.COM 的口令: <键入口令>
kadmin: 退出
    注意:

    为每个服务授权对象录入的口令,在两个 KDC 中必须是相同的;这意思是指,用于 krbtgt/ENG.EAST.ACME.COM@EAST.ACME.COM 的口令,在两个区域中必须一样。

  4. 将条目添加到 Kerberos 配置文件,以定义到远程区域的直接路径 (kdc.conf)。

    该示例是针对 ENG.EAST.ACME.COM 区域中的客户机的。您交换区域名就可以在 SALES.WEST.ACME.COM 区域中获得适当的定义。


    # cat /etc/krb5/krb5.conf
[libdefaults]
 .
 .
[capaths]
    ENG.EAST.ACME.COM = {
        SALES.WEST.ACME.COM = .
    }

    SALES.WEST.ACME.COM = {
         ENG.EAST.ACME.COM = .
    }

  5. 将 Kerberos 配置文件复制到当前区域中的所有客户机。

    为了让跨区鉴别能够工作,所有系统 (其中包括从 KDC 及其它的服务器) 必须安装有新版本的 Kerberos 配置文件 (krb5.conf)。

  6. 为第二个区域重复这些步骤。