Ну, эта ссылка может объяснить это: http://blogs.msdn.com/anthonw/archive/2006/08/02/686041.aspx
В основном соединяющийся компьютер (рабочая станция) должен смочь видеть AD сервер DC на всех доменах, с которыми это планирует соединиться; но подключенный компьютер (сервер) не должен мочь видеть другой AD сервер DC для компьютеров, которые соединяются с ним.
Так на практике это может потребовать, чтобы Вы думали, где пользователи (или приложения) соединяются от и делают те домены на "более высоком полномочии" для наблюдения тех серверов DC.
Однако при использовании ТОЛЬКО аутентификации типа NTLM затем только DCS должен видеть друг друга, и аутентификация будет хорошо работать. Хотя к моему знанию, запросы LDAP должны быть достаточными, соединяется ли оно с Глобальным сервером Каталога.
Одна подсказка для Kerberos: необходимо разобраться DNS перед конфигурированием Kerberos, или можно столкнуться со всеми видами проблемы. Так, создайте соответствующие записи DNS сначала и не продолжайте, прежде чем это сделано.
Тем не менее я действительно не думаю, что Kerberos необходим в Вашем случае. Это - все еще известно сложная вещь получить работать правильно, и я не думаю, что результат будет стоить проблемы. Прежде всего, это полезно для предоставления решения единой точки входа, поэтому если Вы разбираетесь в нем, Вы входите в Ваш (система) учетная запись пользователя, и 'волшебно' все kerberized сервисы будут работать без входа в систему.
Так, при конфигурировании системы, чтобы пройти проверку подлинности против LDAP через PAM и сделать то же для Trac, необходимо быть в порядке.
я использовал бы аналогично открытый, чтобы присоединиться к домену и conf kerberos и добавить в использовании dav_svn.conf
<Location /svn>
DAV svn
SVNParentPath /srv/svn
AuthzSVNAccessFile /etc/subversion/svn.conf
SVNPathAuthz off
Require valid-user
AuthName "Domain Login"
AuthType Kerberos
KrbMethodNegotiate off
KrbSaveCredentials off
KrbVerifyKDC off
в svn.conf добавляют пользователей, Вы хотите иметь права на repos. знать, ставит доменное имя в верхнем регистре, поскольку user1@DOMAIN.LOCAL kerberos хочет это как этот