Dokumentation3.3. Sekundäres KDC
Sobald Sie über ein Key Distribution Center (KDC) in Ihrem Netzwerk verfügen, empfiehlt es sich, über ein sekundäres KDC zu verfügen, falls das primäre nicht verfügbar ist. Wenn Sie Kerberos-Clients haben, die sich in verschiedenen Netzwerken befinden (möglicherweise durch Router mit NAT getrennt), ist es außerdem ratsam, in jedem dieser Netzwerke einen sekundären KDC zu platzieren.
1. Installieren Sie zunächst die Pakete. Wenn Sie nach den Namen des Kerberos- und Admin-Servers gefragt werden, geben Sie den Namen des primären KDC ein:
sudo apt install krb5-kdc krb5-admin-server
2. Sobald Sie die Pakete installiert haben, erstellen Sie den Host-Prinzipal des sekundären KDC. Geben Sie an einer Terminal-Eingabeaufforderung Folgendes ein:
kadmin -q "addprinc -randkey host/kdc02.example.com"
Nachdem Sie kadmin-Befehle eingegeben haben, werden Sie zur Eingabe Ihres Benutzernamens/Benutzernamens aufgefordert. [E-Mail geschützt] Hauptpasswort.
3. Extrahieren Sie die Schlüsselband Datei:
kadmin -q "ktadd -norandkey -k keytab.kdc02 host/kdc02.example.com"
4. Es sollte jetzt ein sein keytab.kdc02 Verschieben Sie die Datei in das aktuelle Verzeichnis /etc/krb5.keytab:
sudo mv keytab.kdc02 /etc/krb5.keytab
Wenn der Pfad zum keytab.kdc02 Die Datei ist unterschiedlich, passen Sie sie entsprechend an.
Außerdem können Sie die Principals in einer Keytab-Datei auflisten, was bei der Fehlerbehebung hilfreich sein kann, indem Sie das Dienstprogramm klist verwenden:
sudo klist -k /etc/krb5.keytab
Die Option -k gibt an, dass es sich bei der Datei um eine Keytab-Datei handelt.
5. Als nächstes muss es eine geben kpropd.acl Datei auf jedem KDC, die alle KDCs für den Bereich auflistet. Erstellen Sie beispielsweise sowohl auf dem primären als auch auf dem sekundären KDC /etc/krb5kdc/kpropd.acl:
Gastgeber/[E-Mail geschützt] Gastgeber/[E-Mail geschützt]
6. Erstellen Sie eine leere Datenbank auf der Sekundäres KDC:
sudo kdb5_util -s erstellen
7. Starten Sie nun den kpropd-Daemon, der auf Verbindungen vom Dienstprogramm kprop wartet. kprop wird zum Übertragen von Dump-Dateien verwendet:
sudo kpropd -S
8. Von einem Terminal auf der Primäres KDC, erstellen Sie eine Dump-Datei der Hauptdatenbank:
sudo kdb5_util dump /var/lib/krb5kdc/dump
9. Extrahieren Sie die primären KDCs Schlüsselband Datei und kopieren Sie sie nach /etc/krb5.keytab:
kadmin -q "ktadd -k keytab.kdc01 host/kdc01.example.com" sudo mv keytab.kdc01 /etc/krb5.keytab
Stellen Sie sicher, dass ein Gastgeber für kdc01.example.com bevor Sie das Keytab extrahieren.
10. Übertragen Sie die Datenbank mithilfe des kprop-Dienstprogramms an den sekundären KDC:
sudo kprop -r EXAMPLE.COM -f /var/lib/krb5kdc/dump kdc02.example.com
Es sollte eine geben ERFOLGREICH Meldung, ob die Weitergabe funktioniert hat. Überprüfen Sie, ob eine Fehlermeldung vorliegt / var / log / syslog Weitere Informationen finden Sie auf dem sekundären KDC.
Möglicherweise möchten Sie auch einen Cron-Job erstellen, um die Datenbank auf dem sekundären KDC regelmäßig zu aktualisieren. Mit dem folgenden Beispiel wird die Datenbank stündlich gepusht (beachten Sie, dass die lange Zeile geteilt wurde, um sie an das Format dieses Dokuments anzupassen):
# mh dom mon dow Befehl
0 * * * * /usr/sbin/kdb5_util dump /var/lib/krb5kdc/dump &&
/usr/sbin/kprop -r EXAMPLE.COM -f /var/lib/krb5kdc/dump kdc02.example.com
11. Zurück auf der Sekundäres KDC, ein ... kreieren Versteck Datei, die den Kerberos-Hauptschlüssel enthält:
sudo kdb5_util stash
12. Starten Sie schließlich den krb5-kdc-Daemon auf dem sekundären KDC:
sudo systemctl starte krb5-kdc.service
Das Sekundäres KDC sollte nun in der Lage sein, Tickets für das Realm auszustellen. Sie können dies testen, indem Sie den krb5-kdc-Daemon auf dem primären KDC stoppen und dann mit kinit ein Ticket anfordern. Wenn alles gut geht, sollten Sie es tun
Sie erhalten ein Ticket vom Secondary KDC. Ansonsten prüfen / var / log / syslog und /var/log/auth.log im sekundären KDC.