安裝與管理 Kerberos

目錄

46.1. 選擇 Kerberos 領域
46.2. 設定 KDC 硬體
46.3. 時鐘同步化
46.4. 設定 KDC
46.5. 手動設定 Kerberos 用戶端
46.6. 以 YaST 設定 Kerberos 用戶端
46.7. 遠端 Kerberos 管理
46.8. 建立 Kerberos 主機主體
46.9. 啟用 Kerberos 的 PAM 支援
46.10. 設定 Kerberos 驗證的 SSH
46.11. 使用 LDAP 與 Kerberos

本小節涵蓋 MIT Kerberos 執行方式的安裝,以及部分的管理。本小節假設您已熟悉 Kerberos 的基本概念(另請參閱 第 45 章「網路驗證—Kerberos 小節)。

選擇 Kerberos 領域

Kerberos 安裝的範圍稱為領域 (realm),依其名稱來識別,如:FOOBAR.COM 或僅 ACCOUNTING。Kerberos 有大小寫之分,因此 foobar.comFOOBAR.COM 實際上是不同領域。請使用您偏好的大小寫。但是,一般的方式是使用大寫領域名稱。

使用您的 DNS 網域名稱 (或子網域,如 ACCOUNTING.FOOBAR.COM) 也是好主意。如下所示,如果您設定您的 Kerberos 用戶端透過 DNS 找出 KDC 和其他 Kerberos 服務,則管理將非常容易。若要這樣做,如果您的領域名稱是您 DNS 網域名稱的子網域會很有用。

和 DNS 名稱空間不同,Kerberos 非階層式。您無法設定名為 FOOBAR.COM 的領域,其下含有兩個名為 DEVELOPMENTACCOUNTING 的「子領域」,並期望兩個次級領域繼承任何來自 FOOBAR.COM 的主體。相反地,您應該分別建立三領域,並為不同領域之間的使用者或伺服器,設定跨領域驗證。

為了簡化範例,假設您僅為整個組織設定一個領域。在本小節的其他部分,會在所有範例中使用 EXAMPLE.COM 做為領域名稱。