配置跨领域验证
有几种方法可以将各个领域链接在一起,从而允许在一个领域中验证另一个领域中的用户。跨领域验证通过建立一个由两个领域共享的密钥来实现。领域之间的关系可以是分层关系或直接关系(请参见领域分层结构)。
如何建立层次化跨领域验证
此过程中的示例使用 ENG.EAST.EXAMPLE.COM 和 EAST.EXAMPLE.COM 两个领域。将按两个方向建立跨领域验证。必须在主 KDC 服务器上在这两个领域中完成此过程。
开始之前
必须配置每个领域的主 KDC 服务器。要完全测试验证过程,必须配置多个 Kerberos 客户机。成为第一个主 KDC 服务器上的超级用户。
为两个领域创建票证授予票证服务主体。
必须使用在配置主 KDC 服务器时创建的一个 admin 主体名称登录。# /usr/sbin/kadmin -p kws/admin
Enter password:
kadmin: addprinc krbtgt/ENG.EAST.EXAMPLE.COM@EAST.EXAMPLE.COM
Enter password for principal krgtgt/ENG.EAST.EXAMPLE.COM@EAST.EXAMPLE.COM:
kadmin: addprinc krbtgt/EAST.EXAMPLE.COM@ENG.EAST.EXAMPLE.COM
Enter password for principal krgtgt/EAST.EXAMPLE.COM@ENG.EAST.EXAMPLE.COM:
kadmin: quit
注 -在两个 KDC 中为每个服务主体指定的口令必须完全相同。因此,服务主体 krbtgt/ENG.EAST.EXAMPLE.COM@EAST.EXAMPLE.COM 的口令在两个领域中必须相同。
向 Kerberos 配置文件 (krb5.conf) 中添加项来定义每个领域的域名。# cat /etc/krb5/krb5.conf
[libdefaults]
.
.
[domain_realm]
.eng.east.example.com = ENG.EAST.EXAMPLE.COM
.east.example.com = EAST.EXAMPLE.COM
在此示例中,定义了 ENG.EAST.EXAMPLE.COM 和 EAST.EXAMPLE.COM 领域的域名。由于会从上向下搜索该文件,因此先包含子域非常重要。
将 Kerberos 配置文件复制到此领域中的所有客户机。
要使跨领域验证正常工作,所有系统(包括从 KDC 服务器和其他服务器)都必须安装了 Kerberos 配置文件 (/etc/krb5/krb5.conf) 的新版本。
对第二个领域重复以上所有步骤。
如何建立直接跨领域验证
此过程中的示例使用 ENG.EAST.EXAMPLE.COM 和 SALES.WEST.EXAMPLE.COM 两个领域。将按两个方向建立跨领域验证。必须在主 KDC 服务器上在这两个领域中完成此过程。
开始之前
必须配置每个领域的主 KDC 服务器。要完全测试验证过程,必须配置多个 Kerberos 客户机。成为一个主 KDC 服务器上的超级用户。
为两个领域创建票证授予票证服务主体。
必须使用在配置主 KDC 服务器时创建的一个 admin 主体名称登录。# /usr/sbin/kadmin -p kws/admin
Enter password:
kadmin: addprinc krbtgt/ENG.EAST.EXAMPLE.COM@SALES.WEST.EXAMPLE.COM
Enter password for principal
krgtgt/ENG.EAST.EXAMPLE.COM@SALES.WEST.EXAMPLE.COM:
kadmin: addprinc krbtgt/SALES.WEST.EXAMPLE.COM@ENG.EAST.EXAMPLE.COM
Enter password for principal
krgtgt/SALES.WEST.EXAMPLE.COM@ENG.EAST.EXAMPLE.COM:
kadmin: quit
注 -在两个 KDC 中为每个服务主体指定的口令必须完全相同。因此,服务主体 krbtgt/ENG.EAST.EXAMPLE.COM@SALES.WEST.EXAMPLE.COM 的口令在两个领域中必须相同。
向 Kerberos 配置文件中添加项来定义指向远程领域的直接路径。
此示例显示了 ENG.EAST.EXAMPLE.COM 领域中的客户机。可能需要交换领域名称以获取 SALES.WEST.EXAMPLE.COM 领域中的适当定义。# cat /etc/krb5/krb5.conf
[libdefaults]
.
.
[capaths]
ENG.EAST.EXAMPLE.COM = {
SALES.WEST.EXAMPLE.COM = .
}
SALES.WEST.EXAMPLE.COM = {
ENG.EAST.EXAMPLE.COM = .
}
将 Kerberos 配置文件复制到当前领域中的所有客户机。
要使跨领域验证正常工作,所有系统(包括从 KDC 服务器和其他服务器)都必须安装了 Kerberos 配置文件 (/etc/krb5/krb5.conf) 的新版本。
对第二个领域重复以上所有步骤。