Documentazione<Precedenti | Contenuti | Succ.>
3.3. KDC secondario
Una volta che si dispone di un centro di distribuzione chiavi (KDC) sulla rete, è buona norma disporre di un KDC secondario nel caso in cui il principale non sia disponibile. Inoltre, se si dispone di client Kerberos che si trovano in reti diverse (possibilmente separate da router che utilizzano NAT), è consigliabile posizionare un KDC secondario in ciascuna di tali reti.
1. Innanzitutto, installa i pacchetti e, quando vengono richiesti i nomi dei server Kerberos e Admin, inserisci il nome del KDC primario:
sudo apt install krb5-kdc krb5-admin-server
2. Una volta installati i pacchetti, creare l'entità host del KDC secondario. Da un prompt del terminale, inserisci:
kadmin -q "addprinc -randkey host/kdc02.example.com"
Dopo aver impartito qualsiasi comando kadmin ti verrà richiesto il tuo nome utente/ [email protected] password principale.
3. Estrarre il tastiera file:
kadmin -q "ktadd -norandkey -k keytab.kdc02 host/kdc02.example.com"
4. Ora dovrebbe esserci un keytab.kdc02 nella directory corrente, sposta il file in /etc/krb5.keytab:
sudo mv keytab.kdc02 /etc/krb5.keytab
Se il percorso per il keytab.kdc02 il file è diverso regolare di conseguenza.
Inoltre, puoi elencare i principali in un file Keytab, che può essere utile durante la risoluzione dei problemi, utilizzando l'utilità klist:
sudo klist -k /etc/krb5.keytab
L'opzione -k indica che il file è un file keytab.
5. Successivamente, ci deve essere un kpropd.acl file su ogni KDC che elenca tutti i KDC per il regno. Ad esempio, sia sul KDC primario che su quello secondario, create /etc/krb5kdc/kpropd.acl:
ospite/[email protected] ospite/[email protected]
6. Creare un database vuoto sul KDC secondario:
sudo kdb5_util -s crea
7. Ora avvia il demone kpropd, che ascolta le connessioni dall'utility kprop. kprop è usato per trasferire file di dump:
sudo kpropd -S
8. Da un terminale sul KDC primario, crea un file dump del database principale:
sudo kdb5_util dump / var / lib / krb5kdc / dump
9. Estrarre i KDC primari tastiera file e copialo in /etc/krb5.keytab:
kadmin -q "ktadd -k keytab.kdc01 host/kdc01.example.com" sudo mv keytab.kdc01 /etc/krb5.keytab
Assicurati che ci sia un host da kdc01.esempio.com prima di estrarre il Keytab.
10. Utilizzando l'utility kprop, inviare il database al KDC secondario:
sudo kprop -r EXAMPLE.COM -f /var/lib/krb5kdc/dump kdc02.example.com
Dovrebbe esserci un SUCCESSO messaggio se la propagazione ha funzionato. Se c'è un messaggio di errore controlla / Var / log / syslog sul KDC secondario per ulteriori informazioni.
Potresti anche voler creare un cron job per aggiornare periodicamente il database sul KDC secondario. Ad esempio, quanto segue spingerà il database ogni ora (nota che la lunga fila è stata divisa per adattarsi al formato di questo documento):
# comando mh dom mon dow
0 * * * * /usr/sbin/kdb5_util dump /var/lib/krb5kdc/dump &&
/usr/sbin/kprop -r ESEMPIO.COM -f /var/lib/krb5kdc/dump kdc02.example.com
11. Di nuovo sul KDC secondario, creare un scorta file per contenere la chiave principale Kerberos:
sudo kdb5_util scorta
12. Infine, avvia il demone krb5-kdc sul KDC secondario:
sudo systemctl avvia krb5-kdc.service
. KDC secondario dovrebbe ora essere in grado di emettere biglietti per il Regno. Puoi verificarlo arrestando il demone krb5-kdc sul KDC primario, quindi utilizzando kinit per richiedere un ticket. Se tutto va bene dovresti
ricevere un biglietto dal KDC secondario. Altrimenti, controlla / Var / log / syslog e /var/log/auth.log nel Secondario KDC.