Dokumentasi<Sebelumnya | Konten | Selanjutnya>
3.3. KDC Sekunder
Setelah Anda memiliki satu Pusat Distribusi Kunci (KDC) di jaringan Anda, praktik yang baik adalah memiliki KDC Sekunder jika KDC primer tidak tersedia. Juga, jika Anda memiliki klien Kerberos yang berada di jaringan yang berbeda (mungkin dipisahkan oleh router menggunakan NAT), sebaiknya tempatkan KDC sekunder di setiap jaringan tersebut.
1. Pertama, instal paket, dan ketika ditanya nama server Kerberos dan Admin masukkan nama KDC Primer:
sudo apt install krb5-kdc krb5-admin-server
2. Setelah Anda menginstal paket, buat prinsipal host KDC Sekunder. Dari prompt terminal, masukkan:
kadmin -q "addprinc -randkey Host/kdc02.example.com"
Setelah mengeluarkan perintah kaadmin, Anda akan dimintai nama pengguna/ [email dilindungi] kata sandi utama.
3. Ekstrak tab kunci File:
kadmin -q "ktadd -norandkey -k keytab.kdc02 host/kdc02.example.com"
4. Sekarang seharusnya ada keytab.kdc02 di direktori saat ini, pindahkan file ke /etc/krb5.keytab:
sudo mv keytab.kdc02 /etc/krb5.keytab
Jika jalan menuju keytab.kdc02 file berbeda menyesuaikan sesuai.
Juga, Anda dapat membuat daftar prinsipal dalam file Keytab, yang dapat berguna saat memecahkan masalah, menggunakan utilitas klist:
sudo klist -k /etc/krb5.keytab
Opsi -k menunjukkan file tersebut adalah file keytab.
5. Selanjutnya, perlu ada kpropd.acl file di setiap KDC yang mencantumkan semua KDC untuk Realm. Misalnya, pada KDC primer dan sekunder, buat /etc/krb5kdc/kpropd.acl:
tuan rumah/[email dilindungi] tuan rumah/[email dilindungi]
6. Buat database kosong di KDC Sekunder:
sudo kdb5_util -s buat
7. Sekarang jalankan daemon kpropd, yang mendengarkan koneksi dari utilitas kprop. kprop digunakan untuk mentransfer file dump:
sudo kpropd -S
8. Dari terminal di KDC primer, buat file dump dari database utama:
sudo kdb5_util membuang /var/lib/krb5kdc/dump
9. Ekstrak KDC Primer tab kunci file dan salin ke /etc/krb5.keytab:
kadmin -q "ktadd -k keytab.kdc01 host/kdc01.example.com" sudo mv keytab.kdc01 /etc/krb5.keytab
Pastikan ada tuan rumah untuk kdc01.example.com sebelum mengekstrak Keytab.
10. Menggunakan utilitas kprop mendorong database ke KDC Sekunder:
sudo kprop -r EXAMPLE.COM -f /var/lib/krb5kdc/dump kdc02.example.com
Harus ada BERHASIL pesan jika propagasi berhasil. Jika ada pesan error cek / var / log / syslog di KDC sekunder untuk informasi lebih lanjut.
Anda mungkin juga ingin membuat tugas cron untuk memperbarui database di KDC Sekunder secara berkala. Misalnya, berikut ini akan mendorong database setiap jam (perhatikan bahwa antrean panjang telah dibagi agar sesuai dengan format dokumen ini):
# perintah mh dom mon dow
0 * * * * /usr/sbin/kdb5_util dump /var/lib/krb5kdc/dump &&
/usr/sbin/kprop -r EXAMPLE.COM -f /var/lib/krb5kdc/dump kdc02.example.com
11. Kembali ke KDC Sekunder, membuat menyimpan file untuk menyimpan kunci master Kerberos:
sudo kdb5_util simpanan
12. Terakhir, jalankan daemon krb5-kdc di KDC Sekunder:
sudo systemctl mulai krb5-kdc.service
Grafik KDC Sekunder sekarang seharusnya bisa mengeluarkan tiket untuk Realm. Anda dapat menguji ini dengan menghentikan daemon krb5-kdc di KDC Primer, kemudian dengan menggunakan kinit untuk meminta tiket. Jika semuanya berjalan dengan baik, Anda harus
menerima tiket dari KDC Sekunder. Jika tidak, periksa / var / log / syslog dan /var/log/auth.log di KDC Sekunder.