FreeBSD 上使用Kerberos 5认证

　　因为Kerberos需要互相解析域名，设置DNS，能够互相解析地址。

　　登陆测试机B，

　　将测试机A上的/etc/krb5.conf拷贝到测试机B和测试机C上；

　　3．Kerberos 5的调试和部署

　　同时reboot掉两个系统，机器启动完成以后需要同步两台服务器的时间，时间对Kerberos 来说非常重要，Kerberos默认允许的时间偏移量很小，如果两台服务器的时间差超过了Kerberos 允许值，就无法从KDC服务器上取得票据。我写了脚本定时去时间服务器上来同步时间。时间完成以后开始在测试机A上操作；

　　Test1# kstash
Master key: hawk
Verifying password - Master key: hawk
Test1# kadmin -l
kadmin> init THE9.COM //添加默认的域名应该和krb5.conf里保持一致
Realm max ticket life [unlimited]:
kadmin> add cnhawk/test1.the9.com //直接输入用户名/后面说明这个是哪个主机的用户，登陆时候使用cnhawk/test1.the9.com@THE9.CON
Max ticket life [unlimited]:
Max renewable life [unlimited]:
Attributes []:
Password: hawk
Verifying password - Password: hawk
kadmin> exit
hawk#


　　用户添加完成以后进行本地测试。

　　hawk# kinit cnhawk/test1.the9.com@THE9.COM
cnhawk/test1.the9.com@THE9.COM's Password:
hawk# klist -f
Credentials cache: FILE:/tmp/krb5cc_0
Principal: cnhawk/test1.the9.com@THE9.COM
Issued Expires Flags Principal
Jun 7 17:12:21 Jun 8 03:12:21 I krbtgt/THE9.COM@THE9.COM


　　我们可以看到本地已经拿到票据了。