2. Añada al servidor DNS registros SRV por cada servidor KDC existente en el reino. La unidad
|
|
ejecutable Kerberos busca un registro SRV utilizando el nombre del reino como nombre de búsqueda.
Tenga en cuenta que en las búsquedas del DNS no se distingue entre mayúsculas y minúsculas, y por
|
ello no puede haber dos reinos distintos cuyos nombres tan solo difieran en las
|
|
mayúsculas/minúsculas.
|
El formato general del registro SRV de Kerberos es el siguiente:
|
servicio.protocolo.reino clase TTL SRV prioridad peso puerto destino
Las entradas de servicio _kerberos definen instancias de KDC, y las entradas de servicio _kpasswd
|
definen instancias del servicio de cambio de contraseña.
|
|
Las entradas se intentan por orden de prioridad (0 corresponde a la máxima prioridad). Las entradas
|
que tengan la misma prioridad se intentan por orden aleatorio. Los registros de protocolo _udp son
necesarios para las entradas _kerberos y _kpasswd.
|
3. Añada registros TXT para asociar los nombres de sistema principal a los nombres de reino. El
|
|
protocolo Kerberos busca un registro TXT que empiece por el nombre de sistema principal. Si no
encuentra ningún registro TXT, se elimina la primera etiqueta y se reintenta la búsqueda con el nuevo
|
nombre. Este proceso continúa hasta que se encuentre un registro TXT o hasta que se llegue a la raíz.
|
|
Tenga en cuenta que en el nombre del reino del registro TXT se distingue entre mayúsculas y
minúsculas.
|
El formato general de un registro TXT es el siguiente:
|
|
servicio.nombre clase TTL TXT reino
En el caso de nuestro ejemplo de configuración, puede definir centros de distribución de claves (KDC) de
|
ejemplo para dos reinos añadiendo los siguientes registros:
|
|
_kerberos._udp.deptxyz.bogusname.com IN SRV 0 0 88 kdc1.deptxyz.bogusname.com
|
_kerberos._tcp.deptxyz.bogusname.com IN SRV 0 0 88 kdc1.deptxyz.bogusname.com
|
_kerberos._udp.deptabc.bogusname.com IN SRV 0 0 88 kdc2.deptabc.bogusname.com
|
_kerberos._tcp.deptabc.bogusname.com IN SRV 0 0 88 kdc2.deptabc.bogusname.com
|
_kpasswd._udp.deptxyz.bogusname.com IN SRV 0 0 464 kdc1.deptxyz.bogusname.com
|
_kpasswd._tcp.deptxyz.bogusname.com IN SRV 0 0 464 kdc1.deptxyz.bogusname.com
|
_kpasswd._udp.deptabc.bogusname.com IN SRV 0 0 464 kdc2.deptxyz.bogusname.com
|
_kpasswd._tcp.deptabc.bogusname.com IN SRV 0 0 464 kdc2.deptxyz.bogusname.com
En el caso de nuestro ejemplo de configuración, siguiendo el formato general de un registro TXT
|
Kerberos, podemos asociar los sistemas principales de los dominios deptxyz y deptabc a los respectivos
|
|
reinos con las siguientes sentencias:
|
_kerberos.deptxyz.bogusname.com IN TXT DEPTXYZ.BOGUSNAME.COM
|
_kerberos.deptabc.bogusname.com IN TXT DEPTABC.BOGUSNAME.COM
|
A continuación figura un archivo de configuración krb5.conf de ejemplo que especifica la búsqueda
utilizando DNS:
|
|
Lea el tema "Información de exención de responsabilidad" en la página 2, donde encontrará información
legal importante.
|
|
Archivo de configuración krb5.conf de ejemplo
|
; krb5.conf - Kerberos V5 configuration file DO NOT REMOVE THIS LINE
|
;
|
[libdefaults]
|
; El valor de default_realm
|
;-default_realm = REALM1.ROCHESTER.IBM.COM
|
default_realm = DEPTXYZ.BOGUSNAME.COM
134
iSeries: Servicio de autenticación de red