本过程中的示例使用 CORP.EAST.EXAMPLE.COM 和 SALES.WEST.EXAMPLE.COM 两个领域。将按两个方向建立跨领域验证。必须在主 KDC 服务器上在这两个领域中完成此过程。
开始之前
已为每个领域配置主 KDC。要完全测试验证过程,需要多个客户机。
您必须同时承担两台 KDC 服务器上的 root 角色。有关更多信息,请参见在 Oracle Solaris 11.2 中确保用户和进程的安全 中的使用所指定的管理权限。
必须使用在配置主 KDC 服务器时创建的一个 admin 主体名称登录。
# /usr/sbin/kadmin -p kws/admin Enter password: xxxxxxxx kadmin: addprinc krbtgt/CORP.EAST.EXAMPLE.COM@SALES.WEST.EXAMPLE.COM Enter password for principal krbtgt/CORP.EAST.EXAMPLE.COM@SALES.WEST.EXAMPLE.COM:/** Type strong password **/ kadmin: addprinc krbtgt/SALES.WEST.EXAMPLE.COM@CORP.EAST.EXAMPLE.COM Enter password for principal krbtgt/SALES.WEST.EXAMPLE.COM@CORP.EAST.EXAMPLE.COM:/** Type strong password **/ kadmin: quit
本示例显示了 CORP.EAST.EXAMPLE.COM 领域中的客户机。要在 SALES.WEST.EXAMPLE.COM 领域中添加相应定义,请交换领域名称。
# pfedit /etc/krb5/krb5.conf [libdefaults] . . [capaths] CORP.EAST.EXAMPLE.COM = { SALES.WEST.EXAMPLE.COM = . } SALES.WEST.EXAMPLE.COM = { CORP.EAST.EXAMPLE.COM = . }
要使跨领域验证正常工作,所有系统(包括从 KDC 和其他服务器)都必须使用 Kerberos 配置文件 (/etc/krb5/krb5.conf) 的新版本。