我有一个域名。 我们称之为example.com 。 有一个服务器 – 服务器A – 它有托pipe设置,而example.comconfiguration为它的域名。 意思就是parsingexample.com ,会得到服务器A的IP。
我有另一台服务器 – 服务器B – 这是一个不同的服务器。 它被configuration为sub.example.com 。
我希望sub.example.com保持颠覆,使用LDAP作为用户目录。
在configurationLDAP和Kerberos时,我在哪些情况下使用哪些域?
意思,Kerberos的境界是什么? example.com或sub.example.com ?
我在ldap dc部分configuration什么? 是dc=example,dc=com还是dc=sub,dc=example,dc=com ?
有关我想要详细介绍的更多解释,请参阅如何在ubuntu 11.04上configurationldap服务器? (用于颠覆和trac)
您希望使用的Kerberos领域应该是example.com 。 你甚至可以为你的领域创buildkerb.example.com ,并在你想使用Kerberos的服务器上创buildexample.com。 子域将包含您可能创build的所有与Kerberos相关的SRVlogging。
对于您的托pipe服务器,我强烈build议为您的托pipe服务器创build另一个Alogging(例如host1.example.com),并configuration服务器的networking服务以考虑其主要地址。 “example.com”仍然指向它,但仅限于networking托pipe的原因。 否则,您必须将托pipe在托pipe服务器上的networking服务的“.COM”作为“EXAMPLE.COM”的域名进行别名,否则可能会产生不良的副作用。
原因是因为Kerberos如何计算出领域。 通过将DNS名称的第一个标签作为主机名,以及之后的任何标签作为域,将DNS名称解码为领域。 因此,“sub.example.com”属于EXAMPLE.COM领域,“example.com”属于“.COM”领域。 通过将服务器命名为具有三个DNS标签(而不是两个)的Kerberos,可以避免将大部分Internet放在Kerberos领域。
别名在/etc/krb5.conf文件中设置
首先,LDAP!= Kerberos。 如果您想使用Kerberos来与Active Directory域进行通信,那么我想这就是您想要做的事情, 这里可以find线索,或者通过Googlesearch如何configurationKerberos客户端来对AD进行身份validation 。 LDAP是不同的,你真的需要更详细地了解什么是你想要在什么平台上configuration。 我认为这是Unix或Linux,但一个非常具体的版本和什么样的authentication(控制台,graphics用户界面,Squidnetworking代理)是为了。