OnWorks Linux ו-Windows Online WorkStations

לוגו

אירוח מקוון בחינם עבור תחנות עבודה

<הקודם | תוכן | הבא>

3.3. KDC משני


ברגע שיש לך מרכז הפצת מפתחות (KDC) אחד ברשת שלך, מומלץ להחזיק KDC משני למקרה שהמרכזי לא יהיה זמין. כמו כן, אם יש לך לקוחות Kerberos שנמצאים ברשתות שונות (אולי מופרדים על ידי נתבים המשתמשים ב-NAT), כדאי למקם KDC משני בכל אחת מאותן רשתות.


1. ראשית, התקן את החבילות, וכאשר תתבקש להזין את שמות שרת Kerberos ו-Admin הזן את השם של ה-KDC הראשי:


sudo apt להתקין krb5-kdc krb5-admin-server

2. לאחר התקנת החבילות, צור את מנהל המארח של ה-KDC המשני. מהודעת מסוף, הזן:


kadmin -q "addprinc -randkey host/kdc02.example.com"


תמונה

לאחר הוצאת פקודות kadmin כלשהן, תתבקש להזין את שם המשתמש שלך/ [מוגן בדוא"ל] סיסמה ראשית.


3. חלץ את מקשים קובץ:


kadmin -q "ktadd -norandkey -k keytab.kdc02 host/kdc02.example.com"

4. כעת אמור להיות א keytab.kdc02 בספרייה הנוכחית, העבר את הקובץ אל /etc/krb5.keytab:


sudo mv keytab.kdc02 /etc/krb5.keytab


תמונה

אם הדרך אל ה keytab.kdc02 הקובץ שונה להתאים בהתאם.


כמו כן, אתה יכול לרשום את העקרונות בקובץ Keytab, שיכול להיות שימושי בעת פתרון בעיות, באמצעות כלי השירות klist:


sudo klist -k /etc/krb5.keytab


האפשרות -k מציינת שהקובץ הוא קובץ keytab.

5. לאחר מכן, צריך להיות א kpropd.acl קובץ בכל KDC שמפרט את כל ה-KDCs עבור התחום. לדוגמה, ב-KDC הראשוני והמשני, צור /etc/krb5kdc/kpropd.acl:


מנחה/[מוגן בדוא"ל] מנחה/[מוגן בדוא"ל]

6. צור מסד נתונים ריק ב- KDC משני:


sudo kdb5_util -s ליצור

7. כעת הפעל את הדמון kpropd, אשר מאזין לחיבורים מתוכנית השירות kprop. kprop משמש להעברת קבצי dump:


sudo kpropd -S

8. ממסוף על KDC ראשי, צור קובץ dump של מסד הנתונים הראשי:


sudo kdb5_util dump/var/lib/krb5kdc/dump

9. חלץ את ה-KDC הראשי מקשים קובץ והעתק אותו אל /etc/krb5.keytab:


kadmin -q "ktadd -k keytab.kdc01 host/kdc01.example.com" sudo mv keytab.kdc01 /etc/krb5.keytab


תמונה

ודא שיש א המארח ל kdc01.example.com לפני חילוץ ה-Keytab.


10. שימוש בכלי השירות kprop דחוף את מסד הנתונים ל-KDC המשני:


sudo kprop -r EXAMPLE.COM -f /var/lib/krb5kdc/dump kdc02.example.com


תמונה

צריך להיות א הצליח הודעה אם ההפצה עבדה. אם יש הודעת שגיאה בדוק / var / log / syslog ב-KDC המשני למידע נוסף.


ייתכן שתרצה גם ליצור עבודת cron כדי לעדכן מעת לעת את מסד הנתונים ב-KDC המשני. לדוגמה, הדברים הבאים ידחפו את מסד הנתונים כל שעה (שימו לב שהשורה הארוכה פוצלה כדי להתאים לפורמט של מסמך זה):


# פקודת mh dom mon dow

0 * * * * /usr/sbin/kdb5_util dump /var/lib/krb5kdc/dump &&

/usr/sbin/kprop -r EXAMPLE.COM -f /var/lib/krb5kdc/dump kdc02.example.com

11. חזרה על KDC משני, ליצור סְלִיק קובץ כדי להחזיק את המפתח הראשי של Kerberos:


sudo kdb5_util stash

12. לבסוף, הפעל את הדמון krb5-kdc ב-KDC המשני:


sudo systemctl התחל krb5-kdc.service


אל האני KDC משני אמור כעת להיות מסוגל להנפיק כרטיסים לממלכה. אתה יכול לבדוק זאת על ידי עצירת הדמון krb5-kdc ב-KDC הראשי, ולאחר מכן על ידי שימוש ב-kinit כדי לבקש כרטיס. אם הכל ילך כשורה כדאי

לקבל כרטיס מה-KDC המשני. אחרת, בדוק / var / log / syslog ו /var/log/auth.log ב-KDC המשני.


  

 

<הקודם | תוכן | הבא>

  

מחשוב ענן מערכת ההפעלה המוביל ב-OnWorks: