У меня есть доменное имя. Назовем это example.com. Есть сервер - сервер А - на котором настроен хостинг, и example.com настроен как доменное имя. Значение, разрешение example.com, получите сервер АIP.
У меня есть еще один сервер - сервер B - это другой сервер. Он настроен как sub.example.com.
я хочу sub.example.com для проведения подрывной деятельности, используя LDAP в качестве пользовательского каталога.
Какие части домена мне использовать при настройке LDAP и Kerberos в каких случаях?
В смысле, что такое керберос? example.com или sub.example.com ?
Что мне настроить в ldap dc части? Это dc=example,dc=com или dc=sub,dc=example,dc=com ?
Чтобы подробнее узнать о том, что я пытаюсь сделать, см. Как мне настроить ldap-сервер в ubuntu 11.04? (для использования с Subversion и Trac)
Во-первых, LDAP! = Kerberos. Если вы хотите использовать Kerberos для связи с доменом Active Directory, что, я полагаю, вы хотите сделать, подсказки здесь или по Погуглить, как настроить клиента Kerberos для аутентификации в AD. LDAP отличается, и вам действительно нужно дать чертовски много подробностей, чтобы знать, что вы хотите настроить на какой платформе. Я предполагаю, что это Unix или Linux, но нужна очень конкретная версия и тип аутентификации (консоль, графический интерфейс, веб-прокси Squid).
Область Kerberos, которую вы хотите использовать, должна быть example.com в твоем случае. Вы даже можете зайти так далеко, чтобы создать kerb.example.com для вашей области и псевдоним example.com на серверах, на которых вы хотите использовать kerberos. Поддомен будет содержать любые связанные с Kerberos записи SRV, которые вы можете создать.
Для вашего хостинг-сервера я настоятельно рекомендую создать еще одну A-запись для вашего хостинг-сервера (например, host1.example.com) и настроить сетевые службы сервера так, чтобы он считался его основным адресом. "example.com" по-прежнему будет указывать на него, но только для веб-хостинга. В противном случае вам пришлось бы использовать псевдоним .COM как область EXAMPLE.COM для сетевых служб, размещенных на хост-сервере, и это могло бы иметь серьезные побочные эффекты.
Причина этого в том, как Kerberos определяет области. DNS-имя декодируется в область, принимая первую метку DNS-имени в качестве имени хоста, а любые последующие метки в качестве области. Таким образом, sub.example.com будет принадлежать области EXAMPLE.COM, а example.com - области .COM. Называя сервер для целей Kerberos чем-то с тремя метками DNS вместо двух, вы можете избежать помещения больших частей Интернета в область Kerberos.
Псевдонимы задаются в /etc/krb5.conf файл