配置 Kerberos 服务
由于配置期间的部分过程依赖于其他过程,因此必须按特定顺序执行这些过程。这些过程通常用于建立使用 Kerberos 服务所需的服务。其他过程与顺序无关,可以在适当的情况下执行。以下任务列表给出了 Kerberos 安装的建议顺序。
注 -
这些章节中的示例使用缺省加密类型,不是 Oracle Solaris 通过 FIPS 140 验证的类型。要以 FIPS 140 模式运行,必须将数据库、服务器和客户机通信的加密类型限定为
des3-cbc-sha1 加密类型。在创建 KDC 之前,请编辑
如何配置 Kerberos 以 FIPS 140 模式运行中所述的文件。
表 4-1 配置 Kerberos 服务任务列表
|
|
|
1. 规划 Kerberos 安装。
|
开始软件配置过程之前,请先解决配置问题。提前规划可节省以后所用的时间和其他资源。
|
|
2. 配置 KDC 服务器。
|
为领域配置并构建主 KDC 服务器和从 KDC 服务器,以及 KDC 数据库。
|
|
2a.(可选)配置 Kerberos 以 FIPS 140 模式运行。
|
设置为只使用 FIPS 140 验证算法。
|
|
2b.(可选)将 Kerberos 配置为基于 LDAP 运行。
|
将 KDC 配置为使用 LDAP 目录服务器。
|
|
3. 安装网络时间协议 (Network Time Protocol, NTP) 软件。
|
创建为网络上所有系统提供时间的中央时钟。
|
|
4.(可选)配置可交换 KDC 服务器。
|
使交换主 KDC 服务器与从 KDC 服务器的任务更轻松。
|
|
4.(可选)增强 KDC 服务器的安全性。
|
防止 KDC 服务器中发生安全违规。
|
|
|