4.3. Sekundäre KDC-Konfiguration
Die Konfiguration eines sekundären KDC mithilfe des LDAP-Backends ähnelt der Konfiguration eines sekundären KDC mithilfe der normalen Kerberos-Datenbank.
1. Installieren Sie zunächst die erforderlichen Pakete. Geben Sie in einem Terminal Folgendes ein:
sudo apt install krb5-kdc krb5-admin-server krb5-kdc-ldap
2. Als nächstes bearbeiten /etc/krb5.conf So verwenden Sie das LDAP-Backend:
[libdefaults]
default_realm = EXAMPLE.COM
...
[Bereiche]
EXAMPLE.COM = {
kdc = kdc01.example.com kdc = kdc02.example.com
admin_server = kdc01.example.com admin_server = kdc02.example.com default_domain = example.com Datenbankmodul = openldap_ldapconf
}
...
[domain_realm]
.example.com = EXAMPLE.COM
...
[dbdefaults]
ldap_kerberos_container_dn = dc=example,dc=com
[dbmodules]
openldap_ldapconf = {
db_library = kldap
ldap_kdc_dn = "cn=admin,dc=example,dc=com"
# Für dieses Objekt müssen Leserechte vorhanden sein
# der Realm-Container, der Hauptcontainer und die Realm-Unterbäume ldap_kadmind_dn = "cn=admin,dc=example,dc=com"
# Für dieses Objekt müssen Lese- und Schreibrechte vorhanden sein
# der Realm-Container, der Hauptcontainer und die Realm-Unterbäume ldap_service_password_file = /etc/krb5kdc/service.keyfile ldap_servers = ldaps://ldap01.example.com ldaps://ldap02.example.com ldap_conns_per_server = 5
}
3. Erstellen Sie den Stash für das LDAP-Bind-Passwort:
sudo kdb5_ldap_util -D cn=admin,dc=example,dc=com stashsrvpw -f \
/etc/krb5kdc/service.keyfile cn=admin,dc=example,dc=com
4. Nun, am Primäres KDC Kopiere das /etc/krb5kdc/.k5.EXAMPLE.COM Hauptschlüssel Versteck im sekundären KDC. Stellen Sie sicher, dass Sie die Datei über eine verschlüsselte Verbindung wie scp oder auf ein physisches Medium kopieren.
sudo scp /etc/krb5kdc/.k5.EXAMPLE.COM [E-Mail geschützt] :~ sudo mv .k5.EXAMPLE.COM /etc/krb5kdc/
Wieder ersetzen BEISPIEL.COM mit deinem eigentlichen Reich.
5. Zurück auf der Sekundäres KDC, nur den LDAP-Server (neu) starten,
sudo systemctl startet slapd.service neu
6. Starten Sie abschließend den krb5-kdc-Daemon:
sudo systemctl starte krb5-kdc.service
7. Stellen Sie sicher, dass die beiden LDAP-Server (und damit auch Kerberos) synchron sind.
Sie verfügen jetzt über redundante KDCs in Ihrem Netzwerk, und mit redundanten LDAP-Servern sollten Sie weiterhin Benutzer authentifizieren können, wenn ein LDAP-Server, ein Kerberos-Server oder ein LDAP- und ein Kerberos-Server nicht verfügbar sind.