如何建立直接的跨区鉴别

该示例使用两个区域: ENG.EAST.ACME.COM 和 SALES.WEST.ACME.COM。跨区鉴别将在两个方向上得到建立。本过程必须在两个区域中的主 KDC 上完成。

1. 建立直接的跨区鉴别的先决条件。

   本过程要求每个区域的主 KDC 均已配置。如要全面测试本进程，就必须安装与多个客户机或从 KDC。

2. 在其中一个主 KDC 服务器上变为超级用户。

3. 使用 kadmin，为两个区域创建具有票券授予权的票券服务授权对象。

   您必须借助您在配置主 KDC 时所创建的 admin 授权对象名称中的一个进行登录。

   # /usr/krb5/sbin/kadmin -p kws/admin 录入口令: <录入 kws/admin 口令> kadmin: addprinc krbtgt/ENG.EAST.ACME.COM@SALES.WEST.ACME.COM 录入授权对象 krgtgt/ENG.EAST.ACME.COM@SALES.WEST.ACME.COM 的口令: <键入口令> kadmin: addprinc krbtgt/SALES.WEST.ACME.COM@ENG.EAST.ACME.COM 录入授权对象 krgtgt/SALES.WEST.ACME.COM@ENG.EAST.ACME.COM 的口令: <键入口令> kadmin: 退出

   ---

   注意：

   为每个服务授权对象录入的口令，在两个 KDC 中必须是相同的；这意思是指，用于 krbtgt/ENG.EAST.ACME.COM@EAST.ACME.COM 的口令，在两个区域中必须一样。

   ---

4. 将条目添加到 Kerberos 配置文件，以定义到远程区域的直接路径 (kdc.conf)。

   该示例是针对 ENG.EAST.ACME.COM 区域中的客户机的。您交换区域名就可以在 SALES.WEST.ACME.COM 区域中获得适当的定义。

   # cat /etc/krb5/krb5.conf [libdefaults] . . [capaths] ENG.EAST.ACME.COM = { SALES.WEST.ACME.COM = . } SALES.WEST.ACME.COM = { ENG.EAST.ACME.COM = . }

5. 将 Kerberos 配置文件复制到当前区域中的所有客户机。

   为了让跨区鉴别能够工作，所有系统 (其中包括从 KDC 及其它的服务器) 必须安装有新版本的 Kerberos 配置文件 (krb5.conf)。

6. 为第二个区域重复这些步骤。