第20 章• Kerberos 服务介绍347
后续Kerberos 验证
客户机收到初始验证后，每个后续验证都按下图所示的模式进行。
图20–2 使用Kerberos 验证获取对服务的访问权
1. 客户机通过向KDC 发送其票证授予票证作为其身份证明，从KDC 请求特定服务（例
如，远程登录到另一台计算机）的票证。
2. KDC 将该特定服务的票证发送到客户机。
例如，假定用户joe 要访问已通过要求的krb5 验证共享的NFS 文件系统。由于该用户
已经通过了验证（即，该用户已经拥有票证授予票证），因此当其尝试访问文件时，
NFS 客户机系统将自动透明地从KDC 获取NFS 服务的票证。
例如，假定用户joe 在服务器boston 上使用rlogin。由于该用户已经通过了验证（即，
该用户已经拥有票证授予票证），所以在运行rlogin 命令时，该用户将自动透明地获取
票证。该用户使用此票证可随时远程登录到boston，直到票证到期为止。如果joe 要远
程登录到计算机denver，则需要按照步骤1 获取另一个票证。
3. 客户机将票证发送到服务器。
使用NFS 服务时，NFS 客户机会自动透明地将NFS 服务的票证发送到NFS 服务器。
4. 服务器允许此客户机进行访问。
Kerberos 服务的工作方式
348 系统管理指南：安全性服务• 2006 年9 月
从这些步骤来看，服务器似乎并未与KDC 通信。但服务器实际上与KDC 进行了通信，并
向KDC 注册了其自身，正如第一台客户机所执行的操作。为简单起见，该部分已省略。
Kerberos 远程应用程序
用户（如joe）可以使用的基于Kerberos 的（即"Kerberized"）命令包括：
 ftp
 rcp
 rdist
 rlogin
 rsh
 ssh
 telnet
这些应用程序与同名的Solaris 应用程序相同。但是，它们已扩展为使用Kerberos 主体来验
证事务，因此会提供基于Kerberos 的安全性。有关主体的信息，请参见第349 页中的
“Kerberos 主体”。
第494 页中的“Kerberos 用户命令”中将进一步介绍这些命令。
Kerberos 主体
Kerberos 服务中的客户机由其主体标识。主体是KDC 可以为其指定票证的唯一标识。主体
可以是用户（如joe）或服务（如nfs 或telnet）。
根据约定，主体名称分为三个部分：主名称、实例和领域。例如，典型的Kerberos 主体可
以是。在本示例中：
 joe 是主名称。主名称可以是此处所示的用户名或nfs 等服务。主名称还可以是单词
host，这表示此主体是设置用于提供各种网络服务（如ftp、rcp、rlogin 等）的服务主
体。
 admin 是实例。对于用户主体，实例是可选的；但对于服务主体，实例则是必需的。例
如，如果用户joe 有时充当系统管理员，则他可以使用joe/admin 将其自身与平时的用
户身份区分开来。同样，如果joe 在两台不同的主机上拥有帐户，则他可以使用两个具
有不同实例的主体名称，例如joe/denver.example.com 和joe/boston.example.com。请
注意，Kerberos 服务会将joe 和joe/admin 视为两个完全不同的主体。
对于服务主体，实例是全限定主机名。例如，bigmachine.eng.example.com 就是这种实
例。此示例的主名称/实例可以为ftp/bigmachine.eng.example.com 或
host/bigmachine.eng.example.com。
 ENG.EXAMPLE.COM 是Kerberos 领域。领域将在第350 页中的“Kerberos 领域”中介绍。
以下都是有效的主体名称：
 joe
Kerberos 服务的工作方式
第20 章• Kerberos 服务介绍349
 joe/admin



Kerberos 领域
领域是定义属于同一主KDC 的一组系统的逻辑网络，类似于域。图20–3 显示了各领域相互
之间的关系。有些领域是分层的，其中，一个领域是另一个领域的超集。另外一些领域是
不分层（或“直接”）的，必须定义两个领域之间的映射。Kerberos 服务的一种功能是它允许
进行跨领域验证。每个领域只需在其KDC 中有对应于另一个领域的主体项即可。此
Kerberos 功能称为跨领域验证。
图20–3 Kerberos 领域
Kerberos 领域和服务器
每个领域都必须包括一台用于维护主体数据库的主副本的服务器。此服务器称为主KDC 服
务器。此外，每个领域还应至少包含一台从KDC 服务器，该服务器包含主体数据库的多个
副本。主KDC 服务器和从KDC 服务器都可创建用于建立验证的票证。
领域还可以包含两种其他类型的Kerberos 服务器。Kerberos 网络的应用程序服务器是用于
提供对基于Kerberos 的应用程序（如ftp、telnet 和rsh）的访问的服务器。领域还可以包
括NFS 服务器，该服务器使用Kerberos 验证来提供NFS 服务。如果安装了SEAM 1.0 或
1.0.1，则领域可能会包括Kerberos 网络应用程序服务器。
下图显示了一个假设的领域可能包含的内容。
Kerberos 服务的工作方式
350 系统管理指南：安全性服务• 2006 年9 月
图20–4 典型的Kerberos 领域
Kerberos 安全服务
除了提供安全的用户验证外，Kerberos 服务还会提供两种安全服务：
 完整性－正如验证服务可确保网络中客户机的身份真实可靠一样，完整性服务可确保客
户机发送的数据有效并且在传输过程中未被篡改。完整性服务通过数据的加密校验和计
算来实现。完整性还包括用户验证。
 保密性－保密性服务可进一步增强安全性。保密性服务不仅包括对所传输数据的完整性
进行验证，还会在传输之前加密数据，防止数据遭到窃听。保密性服务也对用户进行验
证。
当前，在属于Kerberos 服务的各种基于Kerberos 的应用程序中，仅有ftp 命令允许用户在
运行时（“即时”）更改安全服务。开发者可以设计基于RPC 的应用程序，以便使用
RPCSEC_GSS 编程接口来选择安全服务。
各种Kerberos 发行版的组件
许多发行版中已包括Kerberos 服务组件。Kerberos 服务以及对用于支持Kerberos 服务的基
本操作系统进行的更改最初都使用产品名"Sun Enterprise Authentication Mechanism"（缩写
为SEAM）来发行。由于Solaris 软件中包括的SEAM 产品部件越来越多，因此SEAM 发行
版的内容会相应减少。Solaris 10 发行版中包括了SEAM 产品的所有部件，因此不再需要
SEAM 产品。由于历史原因，文档中仍存在SEAM 产品名。
下表说明了每个发行版中包括的组件。各个产品发行版按时间顺序列出。以下各节中对所
有组件进行了说明。
各种Kerberos 发行版的组件
第20 章• Kerberos 服务介绍351
表20–1 Kerberos 发行版内容
发行版名称内容
Solaris Easy Access Server 3.0 中的SEAM 1.0 Solaris 2.6 和7 发行版中Kerberos 服务的完整发行
版
Solaris 8 发行版中的Kerberos 服务仅Kerberos 客户机软件
Solaris 8 Admin Pack 中的SEAM 1.0.1 Solaris 8 发行版中的Kerberos KDC 和远程应用程
序
Solaris 9 发行版中的Kerberos 服务仅Kerberos KDC 和客户机软件
SEAM 1.0.2 Solaris 9 发行版中的Kerberos 远程应用程序
Solaris 10 发行版中的Kerberos 服务带有增强功能的Kerberos 服务的完整发行版
Kerberos 组件
与MIT 发布的Kerberos V5 产品类似，Solaris Kerberos 服务也包括以下内容：
 密钥分发中心(Key Distribution Center, KDC)（主）：
 Kerberos 数据库管理守护进程－kadmind。
 Kerberos 票证处理守护进程－krb5kdc。
 从KDC。
 数据库管理程序－kadmin 和kadmin.local。
 数据库传播软件－kprop。
 用于获取、查看和销毁票证的用户程序－kinit、klist 和kdestroy。
 用于更改Kerberos 口令的用户程序－kpasswd。
 远程应用程序－ftp、rcp、rdist、rlogin、rsh、ssh 和telnet。
 远程应用程序守护进程－ftpd、rlogind、rshd、sshd 和telnetd。
 管理实用程序－ktutil 和kdb5_util。
 通用安全服务应用程序编程接口(Generic Security Service Application Programming
Interface, GSS-API)－允许应用程序使用多种安全机制，并且不需要在每次添加新机制时
重新编译应用程序。因为GSS-API 与计算机无关，所以适用于Internet 上的各种应用程
序。使用GSS-API，应用程序可包括完整性和保密性的安全服务以及验证。
 RPCSEC_GSS 应用程序编程接口(Application Programming Interface, API)－允许NFS 服务
使用Kerberos 验证。RPCSEC_GSS 是一种安全特性，可提供与要使用的机制无关的安全
服务。RPCSEC_GSS 位于GSS-API 层的顶部。使用RPCSEC_GSS 的应用程序可以使用所
有基于可插拔GSS_API 的安全机制。
 多个库。
此外，Solaris Kerberos 服务还包括：
各种Kerberos 发行版的组件
352 系统管理指南：安全性服务• 2006 年9 月
 SEAM 管理工具(gkadmin)－允许您管理KDC。借助此基于JavaTM 技术的GUI，管理员可
以执行通常通过kadmin 命令执行的任务。
 可插拔验证模块(Pluggable Authentication Module, PAM)－允许应用程序使用各种验证机
制。使用PAM可使登录和注销操作对用户而言透明化。
 内核模块－为NFS 提供GSS-API 和RPCSEC_GSS API 的内核实现。
Solaris 10 发行版中的Kerberos 增强功能
Solaris 10 发行版中包括以下Kerberos 增强功能。其中的一些增强功能已在先前的Software
Express 发行版中引入，并在Solaris 10 Beta 版中进行了更新。
 远程应用程序（如ftp、rcp、rdist、rlogin、rsh、ssh 和telnet）支持Kerberos 协
议。有关更多信息，请参见每个命令或守护进程的手册页和krb5_auth_rules(5) 手册
页。
 Kerberos 主体数据库现在可以通过增量更新进行传送，而不必每次传送整个数据库。增
量传播有以下优点：
 增强了跨服务器数据库的一致性
 所需资源（网络、CPU 等）更少
 更新的传播更加及时
 是一种自动传播方法
 可提供有助于自动配置Kerberos 客户机的新脚本。此脚本可以帮助管理员迅速而轻松地
安装Kerberos 客户机。有关使用新脚本的过程，请参见第388 页中的“配置Kerberos 客
户机”。此外，有关更多信息，请参见kclient(1M) 手册页。
 在Kerberos 服务中添加了几种新的加密类型。这几种加密类型提高了安全性，并增强了
与支持这几种类型的其他Kerberos 实现的兼容性。有关更多信息，请参见第512 页中的
“使用Kerberos 加密类型”。新的加密类型包括：
 AES，该加密类型可用于高速、高安全性的Kerberos 会话加密。通过加密框架启用
AES。
 ARCFOUR-HMAC，该加密类型可提供与其他Kerberos 实现的更好兼容性。
 带有SHA1 的三重DES (3DES)，该加密类型提高了安全性，还增强了与支持此种加
密类型的其他Kerberos 实现的互操作性。
 KDC 软件、用户命令和用户应用程序现在支持使用TCP 网络协议。这种增强功能可提
供更强健的操作，以及与其他Kerberos 实现（包括Microsoft 的Active Directory）之间更
好的互操作性。现在，KDC 可在传统的UDP端口和TCP 端口进行侦听，因此可响应使
用UDP或TCP 协议的请求。用户命令和应用程序在将请求发送到KDC 时，首先尝试使
用UDP，如果该操作失败，则尝试使用TCP。
 KDC 软件（包括kinit、klist 和kprop 命令）中增加了对IPv6 的支持。缺省情况下，
提供对IPv6 地址的支持。无需更改任何配置参数即可启用IPv6 支持。kadmin 和kadmind
命令不支持IPv6。
 kadmin 命令的多个子命令中添加了新的-e 选项。使用此新选项可以在创建主体过程中
选择加密类型。有关更多信息，请参见kadmin(1M) 手册页。
各种Kerberos 发行版的组件
第20 章• Kerberos 服务介绍353
 对pam_krb5 模块进行扩充是为了使用PAM框架来管理Kerberos 凭证高速缓存。有关更
多信息，请参见pam_krb5(5) 手册页。
 支持自动搜索以下各项：Kerberos KDC、管理服务器、kpasswd 服务器以及使用DNS 查
找的主机（或域名）到领域的映射。此增强功能减少了安装Kerberos 客户机所需的某些
步骤。客户机可通过使用DNS 而不是通过读取配置文件来找到KDC 服务器。有关更多
信息，请参见krb5.conf(4) 手册页。
 引入了称为pam_krb5_migrate 的新PAM模块。该新模块可以帮助那些尚未有Kerberos
帐户的用户自动向本地Kerberos 领域迁移。有关更多信息，请参见pam_krb5_migrate(5)
手册页。
 现在，~/.k5login 文件可以用于GSS 应用程序ftp 和ssh。有关更多信息，请参见
gss_auth_rules(5) 手册页。
 kproplog 实用程序已更新，可输出每个日志项的所有属性名。有关更多信息，请参见
kproplog (1M) 手册页。
 使用新的配置文件选项，可以基于每个领域对严格的TGT 验证功能进行选择性配置。有
关更多信息，请参见krb5.conf (4) 手册页。
 通过扩充更改口令实用程序，Solaris Kerberos V5 管理服务器可接受未运行Solaris 软件的
客户机的口令更改请求。有关更多信息，请参见kadmind(1M) 手册页。
 重放高速缓存的缺省位置已从基于RAM的文件系统移动到/var/krb5/rcache/ 中的持久
性存储器。新位置在系统重新引导时可以避免重放。rcache 代码的性能得到增强。但
是，由于使用了持久性存储器，因此整个重放高速缓存的性能有可能降低。
 现在，可以将重放高速缓存配置为使用文件存储器或仅限于内存的存储器。有关可为密
钥表和凭证高速缓存类型或位置配置的环境变量的更多信息，请参阅krb5envvar(5) 手
册页。
 对Kerberos GSS 机制来说，GSS 凭证表不再是必需的。有关更多信息，请参见第360 页
中的“将GSS 凭证映射到UNIX 凭证”或gsscred(1M)、gssd(1M) 和gsscred.conf(4) 手
册页。
 Kerberos 实用程序kinit 和ktutil 现在都基于MIT Kerberos 版本1.2.1。此更改为kinit
命令添加了新的选项，并为ktutil 命令添加了新的子命令。有关更多信息，请参见
kinit(1) 和ktutil(1) 手册页。
 Solaris Kerberos 密钥分发中心(KDC) 和kadmind 现在都基于MIT Kerberos 版本1.2.1。现
在，KDC 在缺省情况下是一个基于二叉树的数据库，这比当前基于散列的数据库更可
靠。有关更多信息，请参见kdb5_util(1M) 手册页。
 kpropd、kadmind、krb5kdc 和ktkt_warnd 守护进程由服务管理工具管理。可以使用
svcadm 命令对此服务执行管理操作，如启用、禁用或重新启动。可使用svcs 命令来查
询此服务对应的所有守护进程的状态。有关服务管理工具的概述，请参阅《System
Administration Guide: Basic Administration》中的第14 章，“Managing Services
(Overview)”。
各种Kerberos 发行版的组件
354 系统管理指南：安全性服务• 2006 年9 月
Solaris 10 6/06 发行版的Kerberos 新增功能
在Solaris 10 6/06 发行版中，ktkt_warnd 守护进程可以自动更新凭证，而不是在凭证即将到
期时才向用户发出警告。用户必须登录才能自动更新凭证。
Solaris 9 发行版中的Kerberos 组件
Solaris 9 发行版包括第352 页中的“Kerberos 组件”中除远程应用程序外的所有组件。
SEAM 1.0.2 组件
SEAM 1.0.2 发行版包括远程应用程序。这些应用程序是Solaris 9 发行版唯一未包括的部分
SEAM 1.0。远程应用程序的组件如下：
 客户机应用程序－ftp、rcp、rlogin、rsh 和telnet
 服务器守护进程－ftpd、rlogind、rshd 和telnetd
Solaris 8 发行版中的Kerberos 组件
Solaris 8 发行版仅包括Kerberos 服务的客户端部分，因此有许多组件未包括在内。借助此产
品，运行Solaris 8 发行版的系统可成为Kerberos 客户机，而不需要单独安装SEAM 1.0.1。要
使用这些功能，必须安装使用Solaris Easy Access Server 3.0 或Solaris 8 Admin Pack 的KDC、
MIT 分发或Windows 2000。如果没有配置KDC 来分发票证，则客户端组件将不起作用。此
发行版中包括以下组件：
 用于获取、查看和销毁票证的用户程序－kinit、klist 和kdestroy。
 用于更改Kerberos 口令的用户程序－kpasswd。
 密钥表管理实用程序－ktutil。
 可插拔验证模块(Pluggable Authentication Module, PAM) 的新增功能－允许应用程序使用
各种验证机制。使用PAM可使登录和注销操作对用户而言透明化。
 GSS_API 插件－提供Kerberos 协议和加密支持。
 NFS 客户机和服务器支持。
SEAM 1.0.1 组件
SEAM 1.0.1 发行版包括Solaris 8 发行版中未包括的所有SEAM 1.0 发行版组件。这些组件包
括：
 密钥分发中心(Key Distribution Center, KDC)（主）：
 Kerberos 数据库管理守护进程－kadmind
各种Kerberos 发行版的组件
第20 章• Kerberos 服务介绍355
 Kerberos 票证处理守护进程－krb5kdc
 从KDC。
 数据库管理程序－kadmin 和kadmin.local。
 数据库传播软件－kprop。
 远程应用程序－ftp、rcp、rlogin、rsh 和telnet。
 远程应用程序守护进程－ftpd、rlogind、rshd 和telnetd。
 管理实用程序－kdb5_util。
 SEAM 管理工具(gkadmin)－允许您管理KDC。借助此基于Java 技术的GUI，管理员可以
执行通常通过kadmin 命令执行的任务。
 预配置过程－允许您设置用于安装和配置SEAM 1.0.1 的参数，使用这些参数可以自动进
行SEAM 安装。此过程对于批量安装尤其有用。
 多个库。
SEAM 1.0 组件
SEAM 1.0 发行版包括第352 页中的“Kerberos 组件”中的所有项以及以下各项：
 实用程序(gsscred) 和守护进程(gssd)－这些程序有助于将UNIX 用户ID (user ID, UID)
映射到主体名称。需要使用这些程序是因为NFS 服务器使用UNIX UID 来标识用户，而
不是使用以不同格式存储的主体名称来标识用户。
 通用安全服务应用程序编程接口(Generic Security Service Application Programming
Interface, GSS-API)－允许应用程序使用多种安全机制，并且不需要在每次添加新机制时
重新编译应用程序。因为GSS-API 与计算机无关，所以适用于Internet 上的各种应用程
序。使用GSS-API，应用程序可包括完整性和保密性的安全服务以及验证。
 RPCSEC_GSS 应用程序编程接口(Application Programming Interface, API)－允许NFS 服务
使用Kerberos 验证。RPCSEC_GSS 是一种安全特性，可提供与要使用的机制无关的安全
服务。RPCSEC_GSS 位于GSS-API 层的顶部。使用RPCSEC_GSS 的应用程序可以使用所
有基于可插拔GSS_API 的安全机制。
 预配置过程－允许您设置用于安装和配置SEAM 1.0.1 的参数，使用这些参数可以自动进
行SEAM 安装。此过程对于批量安装尤其有用。
各种Kerberos 发行版的组件
356 系统管理指南：安全性服务• 2006 年9 月
规划Kerberos 服务
参与安装和维护Kerberos 服务的管理员应学习本章。本章介绍管理员在安装或配置服务之
前必须确定的一些安装和配置选项。
以下是系统管理员或其他技术支持人员应学习的主题的列表：
 第357 页中的“为什么要规划Kerberos 部署？”
 第358 页中的“Kerberos 领域”
 第359 页中的“将主机名映射到领域”
 第359 页中的“客户机名称和服务主体名称”
 第359 页中的“KDC 端口和管理服务端口”
 第360 页中的“从KDC 数”
 第361 页中的“要使用的数据库传播系统”
 第361 页中的“领域内的时钟同步”
 第361 页中的“客户机安装选项”
 第361 页中的“Kerberos 加密类型”
 第362 页中的“SEAMAdministration Tool 中的联机帮助URL”
为什么要规划Kerberos 部署？
在安装Kerberos 服务之前，必须解决几个配置问题。虽然在初始安装后可以更改配置，但
每向系统中添加一台新客户机便会增加执行此操作的难度。而且某些更改可能需要进行完
全重新安装，所以在规划Kerberos 配置时最好应考虑长期目标。
部署Kerberos 基础结构涉及以下任务：安装KDC、为主机创建密钥以及迁移用户。重新配
置Kerberos 部署与执行初始部署一样困难，因此要认真规划部署以避免必须进行重新配
置。
21 第2 1 章
357
Kerberos 领域
领域是一个类似于域的逻辑网络，用于定义一组系统，这些系统位于同一主KDC 下。与建
立DNS 域名一样，在配置Kerberos 服务之前，应解决以下问题以便进行跨领域验证：领域
名称、领域数和每个领域的大小以及各领域之间的关系。
领域名称
领域名称可以由任何ASCII 字符串组成。通常，领域名称与DNS 域名相同，只不过领域名
称采用大写。使用常见的名称时，这种约定有助于将Kerberos 服务问题与DNS 名称空间问
题区分开来。如果不使用DNS 或选择使用其他字符串，则可以使用任何字符串。但是，配
置过程需要更多工作。采用符合标准Internet 名称结构的领域名称是明智之举。
领域数
安装需要的领域数取决于下列因素：
 要支持的客户机数。一个领域中具有太多客户机会增加管理难度，最终会要求对领域进
行分割。确定可以支持的客户机数的主要因素如下：
 每台客户机产生的Kerberos 通信量
 物理网络的带宽
 主机的速度
由于每种安装都有不同的限制，所以不存在确定最大客户机数的原则。
 客户机间相隔的距离。如果客户机位于不同的地理区域中，则可以设置几个较小的领
域。
 可作为KDC 安装的主机数。每个领域中应至少有两台KDC 服务器：一台主服务器和一
台从服务器。
建议将Kerberos 领域与管理域结合使用。请注意，Kerberos V 领域可以跨与该领域相对应的
DNS 域的多个子域。
领域分层结构
为进行跨领域验证而配置多个领域时，需要决定如何将这些领域绑定在一起。可以在这些
领域之间建立分层关系，以便提供到相关域的自动路径。当然，必须正确配置分层链中的
所有领域。自动路径可以减轻管理负担。但是，如果域有许多层，您可能不想使用缺省路
径，因为它需要太多事务。
您也可以选择直接建立连接。当两个分层领域之间存在的层太多或不存在分层关系时，直
接连接最有用。必须在使用连接的所有主机上的/etc/krb5/krb5.conf 文件中定义连接。因
此，还需要执行一些其他工作。有关介绍，请参见第350 页中的“Kerberos 领域”。有关
多个领域的配置过程，请参见第377 页中的“配置跨领域验证”。
Kerberos 领域
358 系统管理指南：安全性服务• 2006 年9 月
将主机名映射到领域
主机名到领域名称的映射在krb5.conf 文件的domain_realm 部分中定义。可以根据需要对
整个域和个别的主机定义这些映射。
DNS 还可用于查找有关KDC 的信息。如果使用DNS，则会使信息更改变得更加容易，因为
每次执行更改时，无需编辑所有客户机上的krb5.conf 文件。有关更多信息，请参见
krb5.conf(4) 手册页。
客户机名称和服务主体名称
使用Kerberos 服务时，强烈建议已在所有主机上配置并运行DNS 服务。如果使用DNS，则
必须在所有主机或未在任何主机上启用它。如果DNS 可用，则主体应包含每台主机的全限
定域名(Fully Qualified Domain Name, FQDN)。例如，如果主机名是boston，DNS 域名是
example.com，领域名称是EXAMPLE.COM，则该主机的主体名称应为
。本书中的示例要求对每台主机配置DNS 并且使用
FQDN。
包含主机的FQDN 的主体名称应与/etc/resolv.conf 文件中说明DNS 域名的字符串匹配。
指定主体的FQDN 时，Kerberos 服务要求DNS 域名必须为小写字母。DNS 域名可以包含大
小写字母，但在创建主机主体时只可以使用小写字母。例如，DNS 域名为example.com、
Example.COM 还是任何其他变体并不重要。主机的主体名称仍为
。
Kerberos 服务可以在没有运行DNS 服务的情况下运行。但是，一些主要功能（例如，与其
他领域通信的功能）将不能工作。如果未配置DNS，则可以将简单的主机名用作实例名
称。在此情况下，主体将为。如果稍后启用DNS，则必须删除并
替换KDC 数据库中的所有主机主体。
此外，还配置了服务管理工具，以便未运行DNS 服务时，不会启动许多守护进程或命令。
已将kdb5_util、kadmind 和kpropd 守护进程以及kprop 命令配置为依赖于DNS 服务。要充
分利用使用Kerberos 服务和SMF 时可用的功能，必须在所有主机上配置DNS。
KDC 端口和管理服务端口
缺省情况下，端口88 和端口750 用于KDC，而端口749 用于KDC 管理守护进程。可以使用
不同的端口号。但是，如果更改端口号，则必须在每台客户机上更改/etc/services 文件和
/etc/krb5/krb5.conf 文件。此外，还必须更新每个KDC 上的/etc/krb5/kdc.conf 文件。

 

 

以上文章转自于 ： http://developers.sun.com.cn/