Inhaltsverzeichnis
In diesem Abschnitt werden die Installation der MIT Kerberos-Implementierung sowie einige administrative Aspekte erläutert. Es wird davon ausgegangen, dass Sie mit den grundlegenden Kerberos-Konzepten vertraut sind (siehe auch Kapitel 45, Netzwerk-Authentifizierung – Kerberos).
Die Domäne einer Kerberos-Installation wird als Bereich bezeichnet und mit einem Namen identifiziert, z. B. FOOBAR.COM
oder einfach BUCHHALTUNG
. Kerberos unterstützt die Groß-/Kleinschreibung, daher ist foobar.com
ein anderer Bereich als FOOBAR.COM
. Verwenden Sie nach Ihrem Belieben Groß- oder Kleinschreibung. Gewöhnlich verwendet man jedoch Bereichsnamen in Großbuchstaben.
Daher ist eine gute Wahl Ihr DNS Domain Name (oder eine Unterdomäne, wie ACCOUNTING.FOOBAR.COM
). Wie Sie im Folgenden sehen werden, wird Ihre Arbeit als Administrator wesentlich einfacher, wenn Sie Ihre Kerberos-Clients so konfigurieren, dass die KDC- und andere Kerberos-Dienste über DNS gesucht werden. Dafür ist es hilfreich, wenn Ihr Bereichsname eine Unterdomäne Ihres DNS Domain Name ist.
Anders als der DNS-Namespace ist Kerberos nicht hierarchisch. Es ist nicht möglich, einen Bereich FOOBAR.COM
einzurichten und diesem zwei „Bereiche “ENTWICKLUNG
und BUCHHALTUNG
unterzuordnen, die automatisch die Prinzipale von FOOBAR.COM
erben. Stattdessen benötigen Sie drei separate Bereiche, für die Sie eine bereichsübergreifende Authentifizierung konfigurieren müssen, damit Benutzer mit Servern oder Benutzern aus anderen Bereichen kommunizieren können.
Lassen Sie uns der Einfachheit halber annehmen, Sie richten für Ihr gesamtes Unternehmen nur einen Bereich ein. Im Weiteren wird daher der Bereichsname BEISPIEL.COM
für alle Beispiele verwendet.