目錄
本小節涵蓋 MIT Kerberos 執行方式的安裝,以及部分的管理。本小節假設您已熟悉 Kerberos 的基本概念(另請參閱 第 45 章「網路驗證—Kerberos」 小節)。
Kerberos 安裝的範圍稱為領域 (realm),依其名稱來識別,如:FOOBAR.COM
或僅 ACCOUNTING
。Kerberos 有大小寫之分,因此 foobar.com
和 FOOBAR.COM
實際上是不同領域。請使用您偏好的大小寫。但是,一般的方式是使用大寫領域名稱。
使用您的 DNS 網域名稱 (或子網域,如 ACCOUNTING.FOOBAR.COM
) 也是好主意。如下所示,如果您設定您的 Kerberos 用戶端透過 DNS 找出 KDC 和其他 Kerberos 服務,則管理將非常容易。若要這樣做,如果您的領域名稱是您 DNS 網域名稱的子網域會很有用。
和 DNS 名稱空間不同,Kerberos 非階層式。您無法設定名為 FOOBAR.COM
的領域,其下含有兩個名為 DEVELOPMENT
和 ACCOUNTING
的「子領域」,並期望兩個次級領域繼承任何來自 FOOBAR.COM
的主體。相反地,您應該分別建立三領域,並為不同領域之間的使用者或伺服器,設定跨領域驗證。
為了簡化範例,假設您僅為整個組織設定一個領域。在本小節的其他部分,會在所有範例中使用 EXAMPLE.COM
做為領域名稱。