本过程中的示例在 CORP.EAST.EXAMPLE.COM 与 EAST.EXAMPLE.COM 之间建立了双向跨领域验证。必须在这两个领域的主 KDC 上完成本过程。
开始之前
已为每个领域配置主 KDC。要完全测试验证过程,需要多个客户机。
您必须同时承担两台 KDC 服务器上的 root 角色。有关更多信息,请参见在 Oracle Solaris 11.2 中确保用户和进程的安全 中的使用所指定的管理权限。
必须使用在配置主 KDC 服务器时创建的一个 admin 主体名称登录。
# /usr/sbin/kadmin -p kws/admin Enter password: xxxxxxxx kadmin: addprinc krbtgt/CORP.EAST.EXAMPLE.COM@EAST.EXAMPLE.COM Enter password for principal krbtgt/CORP.EAST.EXAMPLE.COM@EAST.EXAMPLE.COM:/** Type strong password **/ kadmin: addprinc krbtgt/EAST.EXAMPLE.COM@CORP.EAST.EXAMPLE.COM Enter password for principal krbtgt/EAST.EXAMPLE.COM@CORP.EAST.EXAMPLE.COM:/** Type strong password **/ kadmin: quit
# pfedit /etc/krb5/krb5.conf [libdefaults] . . [domain_realm] .corp.east.example.com = CORP.EAST.EXAMPLE.COM .east.example.com = EAST.EXAMPLE.COM
在本示例中,定义了 CORP.EAST.EXAMPLE.COM 和 EAST.EXAMPLE.COM 两个领域的域名。由于会从上向下搜索文件,因此在文件中子域必须位于域名之前。
要使跨领域验证正常工作,所有系统(包括从 KDC 和其他服务器)都必须使用 /etc/krb5/krb5.conf 的主 KDC 版本。