Documentación<Anterior | Contenido | Siguiente>
3.3. KDC secundario
Una vez que tenga un Centro de distribución de claves (KDC) en su red, es una buena práctica tener un KDC secundario en caso de que el principal no esté disponible. Además, si tiene clientes Kerberos que se encuentran en diferentes redes (posiblemente separados por enrutadores que usan NAT), es aconsejable colocar un KDC secundario en cada una de esas redes.
1. Primero, instale los paquetes y, cuando se le solicite el nombre del servidor de administración y Kerberos, ingrese el nombre del KDC primario:
sudo apt install krb5-kdc krb5-admin-servidor
2. Una vez que tenga los paquetes instalados, cree el principal de host del KDC secundario. Desde un indicador de terminal, ingrese:
kadmin -q "addprinc -randkey host / kdc02.example.com"
Después de emitir cualquier comando kadmin, se le pedirá su nombre de usuario / [email protected] contraseña principal.
3. Extraiga el tabulador archivo:
kadmin -q "ktadd -norandkey -k keytab.kdc02 host / kdc02.example.com"
4. Ahora debería haber un tabulador.kdc02 en el directorio actual, mueva el archivo a /etc/krb5.keytab:
sudo mv keytab.kdc02 /etc/krb5.keytab
Si el camino al tabulador.kdc02 el archivo es diferente, ajústelo en consecuencia.
Además, puede enumerar los principales en un archivo Keytab, que puede ser útil para solucionar problemas, utilizando la utilidad klist:
sudo klist -k /etc/krb5.keytab
La opción -k indica que el archivo es un archivo de tabla de claves.
5. A continuación, debe haber un kpropd.acl archivo en cada KDC que enumera todos los KDC del Reino. Por ejemplo, tanto en el KDC primario como en el secundario, cree /etc/krb5kdc/kpropd.acl:
anfitrión/[email protected] anfitrión/[email protected]
6. Cree una base de datos vacía en el KDC secundario:
sudo kdb5_util -s crear
7. Ahora inicie el daemon kpropd, que escucha las conexiones de la utilidad kprop. kprop se utiliza para transferir archivos de volcado:
sudo kpropd -S
8. Desde una terminal en el KDC primario, cree un archivo de volcado de la base de datos principal:
sudo kdb5_util dump / var / lib / krb5kdc / dump
9. Extraiga los KDC primarios tabulador archivar y copiar a /etc/krb5.keytab:
kadmin -q "ktadd -k keytab.kdc01 host / kdc01.example.com" sudo mv keytab.kdc01 /etc/krb5.keytab
Asegúrese de que haya un fortaleza para kdc01.ejemplo.com antes de extraer el Keytab.
10. Con la utilidad kprop, envíe la base de datos al KDC secundario:
sudo kprop -r EXAMPLE.COM -f / var / lib / krb5kdc / dump kdc02.example.com
Debería haber un ÉXITO mensaje si la propagación funcionó. Si hay un mensaje de error, verifique / var / log / syslog en el KDC secundario para obtener más información.
Es posible que también desee crear un trabajo cron para actualizar periódicamente la base de datos en el KDC secundario. Por ejemplo, lo siguiente empujará la base de datos cada hora (tenga en cuenta que la línea larga se ha dividido para ajustarse al formato de este documento):
# mh dom mon dow comando
0 * * * * / usr / sbin / kdb5_util dump / var / lib / krb5kdc / dump &&
/ usr / sbin / kprop -r EJEMPLO.COM -f / var / lib / krb5kdc / dump kdc02.example.com
11. De vuelta en el KDC secundario, crear un alijo archivo para contener la clave maestra de Kerberos:
sudo kdb5_util alijo
12. Finalmente, inicie el demonio krb5-kdc en el KDC secundario:
sudo systemctl start krb5-kdc.servicio
La KDC secundario ahora debería poder emitir tickets para el Reino. Puede probar esto deteniendo el demonio krb5-kdc en el KDC primario y luego usando kinit para solicitar un ticket. Si todo va bien deberías
recibir un boleto del KDC secundario. De lo contrario, verifique / var / log / syslog y /var/log/auth.log en el KDC de secundaria.