L'exemple de cette procédure établit une authentification inter-domaine entre CORP.EAST.EXAMPLE.COM et EAST.EXAMPLE.COM dans les deux sens. Cette procédure doit être réalisée sur le KDC maître dans les deux domaines.
Avant de commencer
Le KDC maître de chaque domaine est configuré. Pour tester l'ensemble du processus d'authentification, vous avez besoin de plusieurs clients.
Vous devez prendre le rôle root sur les deux serveurs KDC. Pour plus d'informations, reportez-vous à la section A l’aide de vos droits administratifs attribués du manuel Sécurisation des utilisateurs et des processus dans Oracle Solaris 11.2 .
Vous devez vous connecter à l'aide de l'un des noms de principal admin que vous avez créé lorsque vous avez configuré le KDC maître.
# /usr/sbin/kadmin -p kws/admin Enter password: xxxxxxxx kadmin: addprinc krbtgt/CORP.EAST.EXAMPLE.COM@EAST.EXAMPLE.COM Enter password for principal krbtgt/CORP.EAST.EXAMPLE.COM@EAST.EXAMPLE.COM:/** Type strong password **/ kadmin: addprinc krbtgt/EAST.EXAMPLE.COM@CORP.EAST.EXAMPLE.COM Enter password for principal krbtgt/EAST.EXAMPLE.COM@CORP.EAST.EXAMPLE.COM:/** Type strong password **/ kadmin: quit
# pfedit /etc/krb5/krb5.conf [libdefaults] . . [domain_realm] .corp.east.example.com = CORP.EAST.EXAMPLE.COM .east.example.com = EAST.EXAMPLE.COM
Dans cet exemple, les noms de domaine pour les domaines CORP.EAST.EXAMPLE.COM et EAST.EXAMPLE.COM sont définis. Le sous-domaine doit précéder le nom de domaine dans le fichier, car la recherche dans le fichier s'effectue du haut vers le bas.
Pour que l'authentification inter-domaine fonctionne, tous les systèmes (y compris les KDC esclaves et les autres serveurs) doivent utiliser la version de KDC maître de /etc/krb5/krb5.conf.