Kerberos en Oracle Solaris no utiliza el servicio name-service/switch. En su lugar, el servicio Kerberos utiliza DNS para resolver los nombres de host. Por lo tanto, DNS debe estar activado en todos los hosts. Con DNS, el principal debe contener el nombre de dominio completo (FQDN) de cada host. Por ejemplo, si el nombre de host es boston, el nombre de dominio DNS es example.com y el nombre de dominio es EXAMPLE.COM, entonces el nombre de principal para el host debe ser host/boston.example.com@EXAMPLE.COM. Los ejemplos de esta guía requieren que DNS esté configurado y el uso de FQDN para cada host.
El servicio Kerberos pone en forma canónica nombres de alias de host a través de DNS y utiliza la forma canónica (cname) al construir el principal de servicio para el servicio asociado. Por lo tanto, al crear un principal de servicio, el componente de nombre de host de nombres de principal de servicio es la forma canónica del nombre de host del sistema que proporciona el servicio.
El siguiente ejemplo muestra cómo el servicio Kerberos aplica el formato canónico a los nombres de host. Si un usuario ejecuta el comando ssh alpha.example.com donde alpha.example.com es un alias de host para el cname beta.example.com, el servicio Kerberos pone en forma canónica alpha.example.com a beta.example.com. El KDC procesa el ticket como una solicitud para el principal del servicio host/beta.example.com.
Para los nombres de principal que incluyen el FQDN de un host, asegúrese de hacer coincidir la cadena que describe el nombre de dominio DNS en el archivo /etc/resolv.conf. El servicio Kerberos requiere que el nombre de dominio DNS esté en letras minúsculas cuando se especifica el FQDN para un principal. El nombre de dominio DNS puede incluir letras mayúsculas y minúsculas, pero sólo utilice letras minúsculas cuando cree un principal de host. Por ejemplo, el nombre de dominio DNS puede ser example.com, Example.COM o cualquier otra variación. El nombre de principal para el host seguiría siendo host/boston.example.com@EXAMPLE.COM.
Además, la utilidad de gestión de servicios (SMF) se ha configurado de modo que muchos de los daemons o comandos no se inicien si el servicio de cliente DNS no está en ejecución. Los daemons kdb5_util, kadmind y kpropd, y el comando kprop están configurados para depender del servicio DNS. Para utilizar completamente las funciones disponibles mediante el servicio Kerberos y SMF, debe activar el servicio de cliente DNS en todos los hosts.