Bereiche

Ein Bereich stellt ein logisches Netzwerk dar, wie z. B. eine Domain, über das eine Gruppe von Systemen unter demselben Master-KDC definiert wird. Wie bei der Einrichtung von DNS-Domain-Namen sollten z. B. Fragen zum Bereichsnamen, der Anzahl und Größe jedes Bereichs sowie die Beziehung zwischen den Bereichen vor der Konfiguration von SEAM geklärt werden.

Bereichsnamen

Bereichsnamen können aus einer beliebigen ASCII-Zeichenfolge bestehen. Normalerweise wird derselbe Name wie für den DNS-Domain-Namen verwendet, jedoch in Großbuchstaben. Dadurch können Probleme mit SEAM besser von Problemen mit dem DNS-Namensbereich unterschieden werden, während ein vertrauter Name verwendet wird. Wenn Sie den DNS nicht verwenden oder eine andere Bezeichnung vergeben möchten, dann können Sie einen beliebigen Namen verwenden, obwohl Bereichsnamen zu empfehlen sind, die der Standardnamensstruktur für das Internet folgen.

Anzahl von Bereichen

Die Anzahl der von Ihrer Installation erforderlichen Bereiche hängt von verschiedenen Faktoren ab:

• Der Anzahl der zu unterstützenden Clients. Wenn zu viele Clients in einem Bereich vorhanden sind, gestaltet sich die Verwaltung schwieriger, und die Aufteilung des Bereichs könnte erforderlich werden. Zu den Hauptfaktoren, die die Anzahl der zu unterstützenden Clients bestimmen, gehören: Der Umfang des SEAM-Verkehrs, den jeder Client erzeugt, die Bandbreite des physischen Netzwerks und die Leistung der Hosts. Da jede Installation unterschiedliche Einschränkungen mit sich bringt, gibt es keine Regel für die Bestimmung der maximalen Anzahl von Clients.

• Der Entfernung zwischen den Clients. Es kann sinnvoll sein, mehrere kleine Bereiche einzurichten, wenn sich die Clients in unterschiedlichen geographischen Gebieten befinden.

• Der Anzahl der verfügbaren Hosts, die als KDCs installiert werden können. Jeder Bereich sollte mindestens zwei KDC-Server (Master und Slave) besitzen.

Bereichshierarchie

Wenn Sie mehrere Bereiche konfigurieren, müssen Sie entscheiden, wie die Bereiche miteinander verbunden werden. Sie können eine hierarchische Beziehung zwischen den Bereichen einrichten, die automatische Pfade zu den dazugehörigen Domains bereitstellt, jedoch die fehlerfreie Konfiguration aller Bereiche in der hierarchischen Kette erfordert. Die automatischen Pfade können den Verwaltungsaufwand verringern. Wenn jedoch viele Domain-Ebenen vorhanden sind, sollten Sie eventuell nicht den Standardpfad verwenden, da damit zu viele Transaktionen verbunden sind.

Sie können die Verbindung auch direkt einrichten. Eine direkte Verbindung bietet sich am ehesten an, wenn zwischen zwei hierarchischen Domains zu viele Ebenen existieren oder wenn keine hierarchische Beziehung besteht. Die Verbindung muss in der Datei /etc/krb5/krb5.conf auf allen Hosts definiert werden, die diese Verbindung verwenden, was einen gewissen zusätzlichen Aufwand bedeutet. Eine Einführung finden Sie unter "Bereiche", Konfigurationsprozeduren für mehrere Bereiche werden unter "Konfigurieren der bereichsübergreifenden Authentisierung" beschrieben.