<Precedenti | Contenuti | Succ.>
4.3. Configurazione KDC secondaria
La configurazione di un KDC secondario utilizzando il backend LDAP è simile alla configurazione di uno utilizzando il normale database Kerberos.
1. Innanzitutto, installa i pacchetti necessari. In un terminale inserisci:
sudo apt installa krb5-kdc krb5-admin-server krb5-kdc-ldap
2. Quindi, modifica /etc/krb5.conf per utilizzare il backend LDAP:
[libdefault]
default_realm = ESEMPIO.COM
...
[reami]
ESEMPIO.COM = {
kdc = kdc01.esempio.com kdc = kdc02.esempio.com
admin_server = kdc01.example.com admin_server = kdc02.example.com default_domain = esempio.com database_module = openldap_ldapconf
}
...
[dominio_regno]
.esempio.com = ESEMPIO.COM
...
[dbdefault]
ldap_kerberos_container_dn = dc=esempio,dc=com
[moduli db]
openldap_ldapconf = {
libreria_db = kldap
ldap_kdc_dn = "cn=admin,dc=esempio,dc=com"
# questo oggetto deve avere i diritti di lettura su
# il contenitore del regno, il contenitore principale e gli alberi secondari del regno ldap_kadmind_dn = "cn=admin,dc=example,dc=com"
# questo oggetto deve avere i diritti di lettura e scrittura su
# il contenitore del dominio, il contenitore principale e gli alberi secondari del dominio ldap_service_password_file = /etc/krb5kdc/service.keyfile ldap_servers = ldaps://ldap01.example.com ldaps://ldap02.example.com ldap_conns_per_server = 5
}
3. Crea la scorta per la password di associazione LDAP:
sudo kdb5_ldap_util -D cn=admin,dc=esempio,dc=com stashsrvpw -f
/etc/krb5kdc/service.keyfile cn=admin,dc=esempio,dc=com
4. Ora, sul KDC primario copia il /etc/krb5kdc/.k5.EXAMPLE.COM Chiave principale riporre nel KDC secondario. Assicurati di copiare il file su una connessione crittografata come scp o su un supporto fisico.
sudo scp /etc/krb5kdc/.k5.EXAMPLE.COM steve@kdc02.example.com:~ sudo mv .k5.EXAMPLE.COM /etc/krb5kdc/
Di nuovo, sostituisci ESEMPIO.COM con il tuo regno reale.
5. Di nuovo sul KDC secondario, (ri)avvia solo il server ldap,
sudo systemctl riavvia slapd.service
6. Infine, avvia il demone krb5-kdc:
sudo systemctl avvia krb5-kdc.service
7. Verificare che i due server ldap (e kerberos per estensione) siano sincronizzati.
Ora hai KDC ridondanti sulla tua rete e con i server LDAP ridondanti dovresti essere in grado di continuare ad autenticare gli utenti se un server LDAP, un server Kerberos o un LDAP e un server Kerberos non sono disponibili.