El ejemplo de este procedimiento utiliza dos dominios, CORP.EAST.EXAMPLE.COM y SALES.WEST.EXAMPLE.COM. La autenticación entre dominios se establecerá en ambas direcciones. Este procedimiento debe realizarse en el KDC maestro de ambos dominios.
Antes de empezar
El KDC maestro para cada dominio se configura. Para probar completamente el proceso de autenticación, necesita varios clientes.
Debe asumir el rol root en ambos servidores KDC. Para obtener más información, consulte Uso de sus derechos administrativos asignados de Protección de los usuarios y los procesos en Oracle Solaris 11.2 .
Debe iniciar sesión con uno de los nombres de principales admin que creó cuando configuró el KDC maestro.
# /usr/sbin/kadmin -p kws/admin Enter password: xxxxxxxx kadmin: addprinc krbtgt/CORP.EAST.EXAMPLE.COM@SALES.WEST.EXAMPLE.COM Enter password for principal krbtgt/CORP.EAST.EXAMPLE.COM@SALES.WEST.EXAMPLE.COM:/** Type strong password **/ kadmin: addprinc krbtgt/SALES.WEST.EXAMPLE.COM@CORP.EAST.EXAMPLE.COM Enter password for principal krbtgt/SALES.WEST.EXAMPLE.COM@CORP.EAST.EXAMPLE.COM:/** Type strong password **/ kadmin: quit
En este ejemplo, se muestran los clientes en el dominio CORP.EAST.EXAMPLE.COM. Para agregar las definiciones adecuadas en el dominio SALES.WEST.EXAMPLE.COM, intercambie los nombres de dominio.
# pfedit /etc/krb5/krb5.conf [libdefaults] . . [capaths] CORP.EAST.EXAMPLE.COM = { SALES.WEST.EXAMPLE.COM = . } SALES.WEST.EXAMPLE.COM = { CORP.EAST.EXAMPLE.COM = . }
Para que la autenticación entre dominios funcione, todos los sistemas (incluidos los KDC esclavos y otros servidores) deben usar la nueva versión del archivo de configuración de Kerberos, /etc/krb5/krb5.conf.