跳过导航链接 | |
退出打印视图 | |
Oracle Solaris 11.1 管理:安全服务 Oracle Solaris 11.1 Information Library (简体中文) |
10. Oracle Solaris 中的安全属性(参考信息)
运行 FTP 时如何使用带有 Kerberos 的通用安全服务
如何使用多种 Kerberos 安全模式设置安全的 NFS 环境
如何为 Active Directory 服务器配置 Kerberos 客户机
如何以 root 用户身份访问受 Kerberos 保护的 NFS 文件系统
如何自动续订所有票证授予票证 (Ticket-Granting Ticket, TGT)
如何手动将 Kerberos 数据库传播到从 KDC 服务器
有几种方法可以将各个领域链接在一起,从而允许在一个领域中验证另一个领域中的用户。跨领域验证通过建立一个由两个领域共享的密钥来实现。领域之间的关系可以是分层关系或直接关系(请参见领域分层结构)。
此过程中的示例使用 ENG.EAST.EXAMPLE.COM 和 EAST.EXAMPLE.COM 两个领域。将按两个方向建立跨领域验证。必须在主 KDC 服务器上在这两个领域中完成此过程。
开始之前
必须配置每个领域的主 KDC 服务器。要完全测试验证过程,必须配置多个 Kerberos 客户机。
您必须同时承担两台 KDC 服务器上的 root 角色。有关更多信息,请参见如何使用指定给您的管理权限。
必须使用在配置主 KDC 服务器时创建的一个 admin 主体名称登录。
# /usr/sbin/kadmin -p kws/admin Enter password: <Type kws/admin password> kadmin: addprinc krbtgt/ENG.EAST.EXAMPLE.COM@EAST.EXAMPLE.COM Enter password for principal krgtgt/ENG.EAST.EXAMPLE.COM@EAST.EXAMPLE.COM: <Type password> kadmin: addprinc krbtgt/EAST.EXAMPLE.COM@ENG.EAST.EXAMPLE.COM Enter password for principal krgtgt/EAST.EXAMPLE.COM@ENG.EAST.EXAMPLE.COM: <Type password> kadmin: quit
注 - 在两个 KDC 中为每个服务主体指定的口令必须完全相同。因此,服务主体 krbtgt/ENG.EAST.EXAMPLE.COM@EAST.EXAMPLE.COM 的口令在两个领域中必须相同。
# cat /etc/krb5/krb5.conf [libdefaults] . . [domain_realm] .eng.east.example.com = ENG.EAST.EXAMPLE.COM .east.example.com = EAST.EXAMPLE.COM
在此示例中,定义了 ENG.EAST.EXAMPLE.COM 和 EAST.EXAMPLE.COM 领域的域名。由于会从上向下搜索该文件,因此先包含子域非常重要。
要使跨领域验证正常工作,所有系统(包括从 KDC 服务器和其他服务器)都必须安装了 Kerberos 配置文件 (/etc/krb5/krb5.conf) 的新版本。
此过程中的示例使用 ENG.EAST.EXAMPLE.COM 和 SALES.WEST.EXAMPLE.COM 两个领域。将按两个方向建立跨领域验证。必须在主 KDC 服务器上在这两个领域中完成此过程。
开始之前
必须配置每个领域的主 KDC 服务器。要完全测试验证过程,必须配置多个 Kerberos 客户机。
您必须同时承担两台 KDC 服务器上的 root 角色。有关更多信息,请参见如何使用指定给您的管理权限。
必须使用在配置主 KDC 服务器时创建的一个 admin 主体名称登录。
# /usr/sbin/kadmin -p kws/admin Enter password: <Type kws/admin password> kadmin: addprinc krbtgt/ENG.EAST.EXAMPLE.COM@SALES.WEST.EXAMPLE.COM Enter password for principal krgtgt/ENG.EAST.EXAMPLE.COM@SALES.WEST.EXAMPLE.COM: <Type the password> kadmin: addprinc krbtgt/SALES.WEST.EXAMPLE.COM@ENG.EAST.EXAMPLE.COM Enter password for principal krgtgt/SALES.WEST.EXAMPLE.COM@ENG.EAST.EXAMPLE.COM: <Type the password> kadmin: quit
注 - 在两个 KDC 中为每个服务主体指定的口令必须完全相同。因此,服务主体 krbtgt/ENG.EAST.EXAMPLE.COM@SALES.WEST.EXAMPLE.COM 的口令在两个领域中必须相同。
此示例显示了 ENG.EAST.EXAMPLE.COM 领域中的客户机。可能需要交换领域名称以获取 SALES.WEST.EXAMPLE.COM 领域中的适当定义。
# cat /etc/krb5/krb5.conf [libdefaults] . . [capaths] ENG.EAST.EXAMPLE.COM = { SALES.WEST.EXAMPLE.COM = . } SALES.WEST.EXAMPLE.COM = { ENG.EAST.EXAMPLE.COM = . }
要使跨领域验证正常工作,所有系统(包括从 KDC 服务器和其他服务器)都必须安装了 Kerberos 配置文件 (/etc/krb5/krb5.conf) 的新版本。