Stations de travail en ligne OnWorks Linux et Windows

Logo

Hébergement gratuit en ligne pour les postes de travail

<Précédent | Table des matières | Suivant>

4.3. Configuration du KDC secondaire


La configuration d'un KDC secondaire à l'aide du backend LDAP est similaire à la configuration d'un KDC à l'aide de la base de données Kerberos normale.


1. Tout d'abord, installez les packages nécessaires. Dans un terminal entrez :


sudo apt installer krb5-kdc krb5-admin-server krb5-kdc-ldap

2. Ensuite, modifiez /etc/krb5.conf pour utiliser le backend LDAP :


[libdefaults]

domaine_par défaut = EXEMPLE.COM



[royaumes]

EXEMPLE.COM = {

kdc = kdc01.exemple.com kdc = kdc02.exemple.com

admin_server = kdc01.example.com admin_server = kdc02.example.com default_domain = example.com database_module = openldap_ldapconf

}




[domaine_domaine]

.exemple.com = EXEMPLE.COM



[dbpar défaut]

ldap_kerberos_container_dn = dc=exemple, dc=com


[modules de base de données]

openldap_ldapconf = {

db_library = kldap

ldap_kdc_dn = "cn=admin,dc=exemple,dc=com"


# cet objet doit avoir des droits de lecture sur

# le conteneur de domaine, le conteneur principal et les sous-arbres de domaine ldap_kadmind_dn = "cn=admin,dc=example,dc=com"


# cet objet doit avoir les droits de lecture et d'écriture sur

# le conteneur de domaine, le conteneur principal et les sous-arbres de domaine ldap_service_password_file = /etc/krb5kdc/service.keyfile ldap_servers = ldaps://ldap01.example.com ldaps://ldap02.example.com ldap_conns_per_server = 5

}

3. Créez le cache du mot de passe de liaison LDAP :


sudo kdb5_ldap_util -D cn=admin,dc=exemple,dc=com stashsrvpw -f \

/etc/krb5kdc/service.keyfile cn=admin,dc=exemple,dc=com

4. Maintenant, sur le KDC principal copier le /etc/krb5kdc/.k5.EXEMPLE.COM Clé maîtresse cache au KDC secondaire. Assurez-vous de copier le fichier sur une connexion cryptée telle que scp ou sur un support physique.


sudo scp /etc/krb5kdc/.k5.EXAMPLE.COM [email protected]:~ sudo mv .k5.EXAMPLE.COM /etc/krb5kdc/


image

Encore une fois, remplacez EXEMPLE.COM avec votre royaume réel.


5. Retour sur le KDC secondaire, (re)démarrer le serveur ldap uniquement,


sudo systemctl redémarrer slapd.service

6. Enfin, démarrez le démon krb5-kdc :


sudo systemctl démarrer krb5-kdc.service

7. Vérifiez que les deux serveurs LDAP (et Kerberos par extension) sont synchronisés.


Vous avez maintenant des KDC redondants sur votre réseau, et avec des serveurs LDAP redondants, vous devriez pouvoir continuer à authentifier les utilisateurs si un serveur LDAP, un serveur Kerberos ou un serveur LDAP et un serveur Kerberos deviennent indisponibles.


  

 

<Précédent | Table des matières | Suivant>

  

Meilleur système d'exploitation Cloud Computing chez OnWorks :