我有一个域名。我们把它叫做示例.com。有一个服务器 -服务器A- 上面有托管设置,并且示例.com配置为域名。意思是,解析示例.com,将得到服务器A'啜。
我有另一台服务器 -服务器B- 这是不同的服务器。它配置为sub.example.com。
我想sub.example.com举办颠覆活动,使用 LDAP 作为用户目录。
配置 LDAP 和 Kerberos 时,在什么情况下我应该使用域的哪些部分?
意思是,kerberos 的范围是什么?示例.com或者sub.example.com?
我应该在 ldapdc部分配置什么?是dc=example,dc=com还是dc=sub,dc=example,dc=com?
有关我正在尝试做什么的更多解释,请参阅如何在 ubuntu 11.04 上配置 ldap 服务器?(用于 subversion 和 trac)
答案1
您要使用的 Kerberos 领域应该是示例.com在你的情况下。你甚至可以创建kerb.example.com为您的领域和别名 example.com 添加到您希望使用 kerberos 的服务器上。子域将包含您可能创建的任何与 Kerberos 相关的 SRV 记录。
对于您的托管服务器,我强烈建议为您的托管服务器创建另一个 A 记录(例如 host1.example.com),并配置服务器的网络服务以将其视为主地址。“example.com”仍将指向它,但仅用于网络托管。否则,您必须将“.COM”别名为“EXAMPLE.COM”领域,用于托管在托管服务器上的网络服务,这可能会产生不良的副作用。
原因在于 Kerberos 确定域的方式。DNS 名称被解码为域,方法是将 DNS 名称的第一个标签作为主机名,将之后的任何标签作为域。因此,“sub.example.com”将属于 EXAMPLE.COM 域,而“example.com”将属于“.COM”域。通过为 Kerberos 目的命名服务器,使用三个 DNS 标签而不是两个,您可以避免将互联网的大部分放在您的 Kerberos 域中。
/etc/krb5.conf别名在文件中设置
答案2
首先,LDAP != Kerberos。如果您想使用 Kerberos 与 Active Directory 域进行通信(我假设您想要这样做),线索就在这里或谷歌搜索如何配置 Kerberos 客户端以针对 AD 进行身份验证。LDAP 有所不同,您确实需要提供更多详细信息才能知道您想要在哪个平台上配置它。我假设它是 Unix 或 Linux,但需要非常具体的版本以及需要哪种身份验证(控制台、GUI、Squid Web 代理)。