Oracle Solaris 中的 Kerberos 不使用 name-service/switch 服务。Kerberos 服务使用 DNS 来解析主机名。因此,必须在所有主机上启用 DNS。使用 DNS 时,主体必须包含每台主机的全限定域名 (Fully Qualified Domain Name, FQDN)。例如,如果主机名是 boston,DNS 域名是 example.com,领域名称是 EXAMPLE.COM,那么主机的主体名称将是 host/boston.example.com@EXAMPLE.COM。本指南中的示例假定已配置 DNS 并将 FQDN 用于每台主机。
在为关联服务构建服务主体时,Kerberos 服务将通过 DNS 标准化主机别名,并使用标准化的格式 (cname)。因此,创建服务主体时,服务主体名称的主机名部分采用提供服务的系统的主机名标准格式。
以下示例显示了 Kerberos 服务如何将主机名标准化。如果用户运行 ssh alpha.example.com 命令(其中 alpha.example.com 是 cname beta.example.com 的 DNS 主机别名),Kerberos 服务会将 alpha.example.com 标准化为 beta.example.com。KDC 将票证处理为服务主体 host/beta.example.com 的请求。
对于包括主机 FQDN 的主体名称,务必使其与 /etc/resolv.conf 文件中描述 DNS 域名的字符串匹配。为主体指定 FQDN 时,Kerberos 服务要求 DNS 域名使用小写字母。DNS 域名可以包括大写和小写字母,但是创建 host 主体时只能使用小写字母。例如,DNS 域名可以是 example.com、Example.COM 或其他任何变体。主机的主体名称仍将是 host/boston.example.com@EXAMPLE.COM。
此外,还配置了服务管理工具 (Service Management Facility, SMF),以便未运行 DNS 客户机服务时,不会启动许多守护进程或命令。kdb5_util、kadmind 和 kpropd 守护进程,以及 kprop 命令都配置为依赖于 DNS 服务。要充分利用 Kerberos 服务和 SMF 提供的功能,必须在所有主机上启用 DNS 客户机服务。