L'exemple de cette procédure utilise deux domaines, CORP.EAST.EXAMPLE.COM et SALES.WEST.EXAMPLE.COM. L'authentification inter-domaine est établie dans les deux directions. Cette procédure doit être effectuée sur le KDC maître dans les deux domaines.
Avant de commencer
Le KDC maître de chaque domaine est configuré. Pour tester l'ensemble du processus d'authentification, vous avez besoin de plusieurs clients.
Vous devez prendre le rôle root sur les deux serveurs KDC. Pour plus d'informations, reportez-vous à la section A l’aide de vos droits administratifs attribués du manuel Sécurisation des utilisateurs et des processus dans Oracle Solaris 11.2 .
Vous devez vous connecter à l'aide de l'un des noms de principal admin que vous avez créé lorsque vous avez configuré le KDC maître.
# /usr/sbin/kadmin -p kws/admin Enter password: xxxxxxxx kadmin: addprinc krbtgt/CORP.EAST.EXAMPLE.COM@SALES.WEST.EXAMPLE.COM Enter password for principal krbtgt/CORP.EAST.EXAMPLE.COM@SALES.WEST.EXAMPLE.COM:/** Type strong password **/ kadmin: addprinc krbtgt/SALES.WEST.EXAMPLE.COM@CORP.EAST.EXAMPLE.COM Enter password for principal krbtgt/SALES.WEST.EXAMPLE.COM@CORP.EAST.EXAMPLE.COM:/** Type strong password **/ kadmin: quit
Cet exemple représente les clients dans le domaine CORP.EAST.EXAMPLE.COM. Pour ajouter les définitions adéquates dans le domaine SALES.WEST.EXAMPLE.COM, changez les noms de domaine.
# pfedit /etc/krb5/krb5.conf [libdefaults] . . [capaths] CORP.EAST.EXAMPLE.COM = { SALES.WEST.EXAMPLE.COM = . } SALES.WEST.EXAMPLE.COM = { CORP.EAST.EXAMPLE.COM = . }
Pour que l'authentification inter-domaine fonctionne, la nouvelle version du fichier de configuration Kerberos, /etc/krb5/krb5.conf, doit être installée sur tous les systèmes (y compris les KDC esclaves et les autres serveurs).