Documentation<Précédent | Table des matières | Suivant>
3.3. KDC secondaire
Une fois que vous avez un centre de distribution de clés (KDC) sur votre réseau, il est recommandé d'avoir un KDC secondaire au cas où le principal deviendrait indisponible. De plus, si vous avez des clients Kerberos qui se trouvent dans des réseaux différents (éventuellement séparés par des routeurs utilisant NAT), il est sage de placer un KDC secondaire dans chacun de ces réseaux.
1. Tout d'abord, installez les packages et, lorsqu'on vous demande les noms des serveurs Kerberos et Admin, entrez le nom du KDC principal :
sudo apt installer krb5-kdc krb5-admin-server
2. Une fois les packages installés, créez le principal hôte du KDC secondaire. À partir d'une invite de terminal, saisissez :
kadmin -q "addprinc -randkey hôte/kdc02.example.com"
Après avoir émis des commandes kadmin, vous serez invité à saisir votre nom d'utilisateur/ [email protected] mot de passe principal.
3. Extraire le clavier fichier:
kadmin -q "ktadd -norandkey -k keytab.kdc02 hôte/kdc02.example.com"
4. Il devrait maintenant y avoir un keytab.kdc02 dans le répertoire courant, déplacez le fichier vers /etc/krb5.keytab:
sudo mv keytab.kdc02 /etc/krb5.keytab
Si le chemin vers le keytab.kdc02 le fichier est différent, ajustez-le en conséquence.
En outre, vous pouvez répertorier les principaux dans un fichier Keytab, ce qui peut être utile lors du dépannage, à l'aide de l'utilitaire klist :
sudo klist -k /etc/krb5.keytab
L'option -k indique que le fichier est un fichier keytab.
5. Ensuite, il doit y avoir un kpropd.acl sur chaque KDC qui répertorie tous les KDC pour le royaume. Par exemple, sur le KDC principal et secondaire, créez /etc/krb5kdc/kpropd.acl:
hôte/[email protected] hôte/[email protected]
6. Créez une base de données vide sur le KDC secondaire:
sudo kdb5_util -s créer
7. Démarrez maintenant le démon kpropd, qui écoute les connexions de l'utilitaire kprop. kprop est utilisé pour transférer les fichiers de vidage :
sudo kpropd -S
8. Depuis un terminal sur le KDC principal, créez un fichier de vidage de la base de données principale :
sudo kdb5_util dump /var/lib/krb5kdc/dump
9. Extraire les KDC primaires clavier fichier et copiez-le dans /etc/krb5.keytab:
kadmin -q "ktadd -k keytab.kdc01 hôte/kdc01.example.com" sudo mv keytab.kdc01 /etc/krb5.keytab
Assurez-vous qu'il y a un hôte en kdc01.exemple.com avant d'extraire le Keytab.
10. À l'aide de l'utilitaire kprop, transférez la base de données vers le KDC secondaire :
sudo kprop -r EXEMPLE.COM -f /var/lib/krb5kdc/dump kdc02.example.com
Il devrait y avoir un RÉUSSI message si la propagation a fonctionné. S'il y a un message d'erreur vérifier / var / log / syslog sur le KDC secondaire pour plus d'informations.
Vous pouvez également créer une tâche cron pour mettre à jour périodiquement la base de données sur le KDC secondaire. Par exemple, ce qui suit poussera la base de données toutes les heures (notez que la longue ligne a été divisée pour s'adapter au format de ce document) :
# commande mh dom mon dow
0 * * * * /usr/sbin/kdb5_util dump /var/lib/krb5kdc/dump &&
/usr/sbin/kprop -r EXEMPLE.COM -f /var/lib/krb5kdc/dump kdc02.example.com
11. Retour sur le KDC secondaire, créer un planque fichier pour contenir la clé principale Kerberos :
sudo kdb5_util cachette
12. Enfin, démarrez le démon krb5-kdc sur le KDC secondaire :
sudo systemctl démarrer krb5-kdc.service
La KDC secondaire devrait maintenant être en mesure d'émettre des billets pour le royaume. Vous pouvez tester cela en arrêtant le démon krb5-kdc sur le KDC principal, puis en utilisant kinit pour demander un ticket. Si tout va bien tu devrais
recevoir un ticket du KDC secondaire. Sinon, vérifiez / var / log / syslog ainsi que /var/log/auth.log dans le KDC secondaire.