doc/rst_source/krb_admins/database/xrealm_authn.rst

   1 .. _xrealm_authn_label:
   2
   3 Cross-realm authentication
   4 ============================
   5
   6 In order for a KDC in one realm to authenticate Kerberos users in a different realm, it must share a key with the KDC in the other realm. In both databases, there must be krbtgt service principals for realms. These principals should all have the same passwords, key version numbers, and encryption types.
   7
   8 For example, if the administrators of ATHENA.MIT.EDU and EXAMPLE.COM wanted to authenticate across the realms, they would run the following commands on the KDCs in both realms::
   9
  10      shell%: kadmin.local -e "des3-hmac-sha1:normal des-cbc-crc:v4"
  11      kadmin: addprinc -requires_preauth krbtgt/ATHENA.MIT.EDU@EXAMPLE.COM
  12      Enter password for principal krbtgt/ATHENA.MIT.EDU@EXAMPLE.COM:
  13      Re-enter password for principal krbtgt/ATHENA.MIT.EDU@EXAMPLE.COM:
  14      kadmin: addprinc -requires_preauth krbtgt/EXAMPLE.COM@ATHENA.MIT.EDU
  15      Enter password for principal krbtgt/EXAMPLE.COM@ATHENA.MIT.EDU:
  16      Enter password for principal krbtgt/EXAMPLE.COM@ATHENA.MIT.EDU:
  17      kadmin:
  18
  19 .. note:: Even if most principals in a realm are generally created with the *requires_preauth* flag enabled, this flag is not desirable on cross-realm authentication keys because doing so makes it impossible to disable preauthentication on a service-by-service basis. Disabling it as in the example above is recommended.
  20
  21
  22 .. note:: It is very important that these principals have good passwords. MIT recommends that TGT principal passwords be at least 26 characters of random ASCII textck:
  23
  24 ------------
  25
  26 Feedback:
  27
  28 Please, provide your feedback at krb5-bugs@mit.edu?subject=Documentation___db
  29
  30