文件记录3.2.1. 安装
在本次讨论中,我们将创建一个具有以下功能的 MIT Kerberos 域(编辑它们以满足您的需求):
• 领域: 例子.COM
• 主要 KDC: kdc01.example.com (192.168.0.1)
• 辅助 KDC: kdc02.example.com (192.168.0.2)
• 用户主体: steve
• 管理员负责人: 史蒂夫/管理员
这是 非常 建议您的网络身份验证用户的 uid 范围与本地用户的 uid 范围不同(例如,从 5000 开始)。
在安装 Kerberos 服务器之前,您的域需要正确配置的 DNS 服务器。 由于 Kerberos 域按照惯例与域名匹配,因此本节使用在第 2.3 节“主主服务器”[p. 169] 中配置的EXAMPLE.COM 域。 XNUMX] 的 DNS 文档。
此外,Kerberos 是一个时间敏感的协议。 因此,如果客户端计算机和服务器之间的本地系统时间相差超过五分钟(默认情况下),工作站将无法进行身份验证。 要解决此问题,所有主机都应使用相同的网络时间协议 (NTP) 服务器进行时间同步。 有关设置 NTP 的详细信息,请参阅第 4 节“时间同步” [p. 55]。 XNUMX]。
创建 Kerberos 领域的第一步是安装 krb5-kdc 和 krb5-admin-server 包。 从终端输入:
须藤 apt 安装 krb5-kdc krb5-admin-server
在安装结束时,您将被要求为领域提供 Kerberos 和管理服务器的主机名,这些服务器可能是也可能不是同一台服务器。
默认情况下,领域是从 KDC 的域名创建的。
接下来,使用 kdb5_newrealm 实用程序创建新领域:
须藤 krb5_newrealm