El ejemplo de este procedimiento establece la autenticación entre dominios entre CORP.EAST.EXAMPLE.COM y EAST.EXAMPLE.COM en ambas direcciones. Este procedimiento debe realizarse en el KDC maestro de ambos dominios.
Antes de empezar
El KDC maestro para cada dominio se configura. Para probar completamente el proceso de autenticación, necesita varios clientes.
Debe asumir el rol root en ambos servidores KDC. Para obtener más información, consulte Uso de sus derechos administrativos asignados de Protección de los usuarios y los procesos en Oracle Solaris 11.2 .
Debe iniciar sesión con uno de los nombres de principales admin que creó cuando configuró el KDC maestro.
# /usr/sbin/kadmin -p kws/admin Enter password: xxxxxxxx kadmin: addprinc krbtgt/CORP.EAST.EXAMPLE.COM@EAST.EXAMPLE.COM Enter password for principal krbtgt/CORP.EAST.EXAMPLE.COM@EAST.EXAMPLE.COM:/** Type strong password **/ kadmin: addprinc krbtgt/EAST.EXAMPLE.COM@CORP.EAST.EXAMPLE.COM Enter password for principal krbtgt/EAST.EXAMPLE.COM@CORP.EAST.EXAMPLE.COM:/** Type strong password **/ kadmin: quit
# pfedit /etc/krb5/krb5.conf [libdefaults] . . [domain_realm] .corp.east.example.com = CORP.EAST.EXAMPLE.COM .east.example.com = EAST.EXAMPLE.COM
En este ejemplo, se definen nombres de dominio para los dominios CORP.EAST.EXAMPLE.COM y EAST.EXAMPLE.COM. El subdominio debe preceder al nombre de dominio en el archivo, porque el archivo se busca de arriba hacia abajo.
Para que la autenticación entre dominios funcione, todos los sistemas (incluidos los KDC esclavos y otros servidores) deben utilizar la versión de del KDC maestro de /etc/krb5/krb5.conf.