如何建立分级跨区鉴别

对于本示例，我们将使用两个区域，ENG.EAST.ACME.COM和 EAST.ACME.COM。跨区鉴别将在两个方向上得到建立。本过程必须在两个区域中的主 KDC 上完成。

1. 建立分级跨区鉴别的先决条件。

   本过程要求每个区域的主 KDC 均已配置。如要全面测试本进程，就必须安装有多个客户机或从 KDC。

2. 在第一个主 KDC 上变为 root。

3. 使用 kadmin，为两个区域创建具有票券授予权的票券服务授权对象。

   您必须借助您在配置主 KDC 时所创建的 admin 授权对象名称中的一个进行登录。

   # /usr/krb5/sbin/kadmin -p kws/admin 录入口令: <录入 kws/admin 口令> kadmin: addprinc krbtgt/ENG.EAST.ACME.COM@EAST.ACME.COM 录入授权对象 krgtgt/ENG.EAST.ACME.COM@EAST.ACME.COM 的口令: <键入口令> kadmin: addprinc krbtgt/EAST.ACME.COM@ENG.EAST.ACME.COM 录入授权对象 krgtgt/EAST.ACME.COM@ENG.EAST.ACME.COM 的口令: <键入口令> kadmin: 退出

   ---

   注意：

   为每个服务授权对象录入的口令，在两个 KDC 中必须是相同的；这意思是指，用于 krbtgt/ENG.EAST.ACME.COM@EAST.ACME.COM 的口令，在两个区域中必须一样。

   ---

4. 将条目添加到 Kerberos 配置文件，以为每个区域定义域名 (krb5.conf)。

   # cat /etc/krb5/krb5.conf [libdefaults] . . [domain_realm] .eng.east.acme.com = ENG.EAST.ACME.COM .east.acme.com = EAST.ACME.COM

   在本示例中， ENG.EAST.ACME.COM 和 EAST.ACME.COM 区域的域名得到定义。首先要包括子域，这一点很重要，因为文件是从上至下得到搜索的。

5. 将 Kerberos 配置文件复制到本区域中的所有客户机。

   为了让跨区鉴别能够工作，所有系统 (其中包括从 KDC 及其它的服务器) 必须安装有新版本的 Kerberos 配置文件 (/etc/krb5/krb5.conf)。

6. 在第二个区域中重复这些步骤。