此过程使用以下配置参数:
应用服务器 = boston
admin 主体 = kws/admin
DNS 域名 = example.com
领域名称 = EXAMPLE.COM
开始之前
已配置主 KDC。时钟已同步,如同步 KDC 与 Kerberos 客户机的时钟中所述。要完全测试此过程,需要多个客户机。
您必须承担应用程序服务器上的 root 角色。有关更多信息,请参见在 Oracle Solaris 11.2 中确保用户和进程的安全 中的使用所指定的管理权限。
以下命令报告是否存在 host 主体:
boston # klist -k | grep host 4 host/boston.example.com@EXAMPLE.COM 4 host/boston.example.com@EXAMPLE.COM 4 host/boston.example.com@EXAMPLE.COM 4 host/boston.example.com@EXAMPLE.COM
如果命令确实返回一个主体,则表示存在。如果命令未返回主体,请通过以下步骤创建新主体。
boston # /usr/sbin/kadmin -p kws/admin Enter password: xxxxxxxx kadmin:
kadmin: addprinc -randkey host/boston.example.com Principal "host/boston.example.com" created. kadmin:
host 主体有以下用途:
使用远程命令(如 rsh 和 ssh)时验证通信。
供 pam_krb5 防止 KDC 欺骗攻击,以确认用户的 Kerberos 凭证是从可信 KDC 获取的。
允许 root 用户在不要求存在 root 主体的情况下,自动获取 Kerberos 凭证。在执行手动 NFS 挂载时,若共享需要使用 Kerberos 凭证,此功能很有用。
如果要使用 Kerberos 服务验证使用远程应用程序的通信,则需要该主体。如果服务器有多个与之关联的主机名,则应使用主机名的 FQDN 格式为每个主机名创建一个主体。
如果没有运行 kadmin 命令,请使用以下类似语法重新启动该命令:/usr/sbin/kadmin -p kws/admin
如果服务器有多个与之关联的主机名,请在密钥表中为每个主机名添加一个主体。
kadmin: ktadd host/boston.example.com Entry for principal host/boston.example.com with kvno 3, encryption type AES-256 CTS mode with 96-bit SHA-1 HMAC added to keytab WRFILE:/etc/krb5/krb5.keytab. Entry for principal host/boston.example.com with kvno 3, encryption type AES-128 CTS mode with 96-bit SHA-1 HMAC added to keytab WRFILE:/etc/krb5/krb5.keytab. Entry for principal host/boston.example.com with kvno 3, encryption type Triple DES cbc mode with HMAC/sha1 added to keytab WRFILE:/etc/krb5/krb5.keytab. kadmin:
kadmin: quit