В дополнение к принципалу, который соответствует администратору, вы должны создать принципалов для ваших пользователей, серверов администрирования и KDC. Для этого используется описанная выше команда

. Предположим, например, что вам надо добавить принципала . Для этого вы должны ввести следующую команду:

Для серверов желательно использовать опцию

, которая указывает системе на то, что для этого принципала ключ должен быть сформирован по случайному закону. Если вы не зададите эту опцию, то программа предложит вам ввести пароль. Другие опции, которые могут быть применены в данной ситуации, описаны на страницах справочной системы, посвященных kadmin.

Принципалы для серверов приложений создаются аналогичным образом, но идентификаторы обычно имеют вид

(именем сервера может быть, например, или ). Необходимо также создать принципала, в идентификаторе которого в качестве основы вместо имени сервера будет указано слово . Кроме того, надо создать ярлык принципала , используя для этого команду . Каждый ярлык должен быть помещен в отдельный файл, т.е. для разных узлов необходимо задавать различные значения опции . Впоследствии этот файл следует переместить на узел, на котором выполняется сервер приложения. Можно поступить и по-другому: вызвать программу с компьютера, на котором расположен сервер приложения, создать принципала для сервера и использовать команду для того, чтобы поместить ярлык в файл на этом компьютере.

Вероятнее всего, вы решите создать принципала для каждого KDC. Идентификаторы таких принципалов создаются в формате

, например . Для ведомых KDC создавать принципалы не обязательно, но они могут быть полезны, если на соответствующем компьютере будет разрешена регистрация обычных пользователей (что категорически не рекомендуется) или если вы захотите использовать ведомый KDC вместо ведущего. Ведущему KDC этот принципал понадобится для того, чтобы передать базу данных ведомому KDC.

Окончив работу с программой

, надо завершить ее выполнение путем ввода команды .

К этому моменту компоненты Kerberos настроены и могут быть запущены. Для запуска сервером можно использовать способы, описанные в главе 4. Если пакет Kerberos поставлялся вместе с вашей системой, для вероятно, существует сценарий запуска SysV. Сценарий для KDC обычно называется

, а сценарий для сервера администрирования — .

Если сценарии SysV отсутствуют, вы можете использовать для запуска программы

и , которые входят в состав пакета Kerberos. Каждая программа порождает процесс из оболочки, поэтому вам нет необходимости указывать после ее имени символ "&". Вызывать данные программы можно из локального сценария запуска ().

Ведомый KDC настраивается практически так же, как и ведущий. Вам надо отредактировать файлы

и , использовать для создания файлов базы данных, сформировать файл ACL и вызвать команду программы , чтобы записать ярлык в файл.

Каждому KDC требуется файл, в котором перечислены все KDC (или, точнее, принципалы, связанные со всеми KDC. Этот файл необходим для передачи данных из базы. Указанный файл имеет имя

и чаще всего хранится в каталоге либо . Содержимое этого файла выглядит приблизительно следующим образом:

Сформировав данный файл для каждого из KDC, надо сконфигурировать ведомый KDC для выполнения двух серверов:

и . Запуск этих серверов можно осуществлять с помощью суперсервера. Соответствующие записи могут иметь следующий вид:

Возможно, на вашем компьютере расположение файлов будет отличаться от указанного выше. Если же в вашей системе используется суперсервер

, вам придется внести изменение в его конфигурационный файл (о настройке суперсерверов см. в главе 4). Если в файле отсутствуют записи для и , вам надо добавить в файл следующие строки: