תיעוד3.2.1. הַתקָנָה
לדיון זה, ניצור תחום MIT Kerberos עם התכונות הבאות (ערוך אותן בהתאם לצרכים שלך):
• תְחוּם: EXAMPLE.COM
• KDC ראשי: kdc01.example.com (192.168.0.1)
• KDC משני: kdc02.example.com (192.168.0.2)
• מנהל משתמש: סטיב
• מנהל מנהל: סטיב/אדמין
זה בְּתוֹקֶף מומלץ שלמשתמשים המאומתים ברשת שלך יהיה ה-uid שלהם בטווח שונה (נניח, החל מ-5000) מזה של המשתמשים המקומיים שלך.
לפני התקנת שרת Kerberos יש צורך בשרת DNS מוגדר כהלכה עבור הדומיין שלך. מכיוון ש-Kerberos Realm לפי מוסכמה תואם את שם הדומיין, סעיף זה משתמש בדומיין EXAMPLE.COM שהוגדר בסעיף 2.3, "ראשי מאסטר" [עמ'. 169] בתיעוד ה-DNS.
כמו כן, Kerberos הוא פרוטוקול רגיש לזמן. אז אם זמן המערכת המקומי בין מחשב לקוח לשרת שונה ביותר מחמש דקות (כברירת מחדל), תחנת העבודה לא תוכל לבצע אימות. כדי לתקן את הבעיה, כל המארחים צריכים לסנכרן את הזמן שלהם באמצעות אותו שרת Network Time Protocol (NTP). לפרטים על הגדרת NTP ראה סעיף 4, "סנכרון זמן" [עמ'. 55].
הצעד הראשון ביצירת ממלכת Kerberos הוא התקנת החבילות krb5-kdc ו-krb5-admin-server. ממסוף הזן:
sudo apt להתקין krb5-kdc krb5-admin-server
תתבקש בסוף ההתקנה לספק את שם המארח עבור שרתי Kerberos ו- Admin, שאולי הוא אותו השרת, או לא, עבור התחום.
כברירת מחדל התחום נוצר בשם הדומיין של KDC.
לאחר מכן, צור את התחום החדש עם כלי השירות kdb5_newrealm:
sudo krb5_newrealm