תיעוד4.3. תצורת KDC משנית
קביעת תצורה של KDC משני באמצעות קצה העורפי של LDAP דומה לקביעת תצורה באמצעות מסד הנתונים הרגיל של Kerberos.
1. ראשית, התקן את החבילות הדרושות. במסוף הזן:
sudo apt להתקין krb5-kdc krb5-admin-server krb5-kdc-ldap
2. לאחר מכן, ערוך /etc/krb5.conf כדי להשתמש בקצה האחורי של LDAP:
[libdefaults]
default_realm = EXAMPLE.COM
...
[ממלכות]
EXAMPLE.COM = {
kdc = kdc01.example.com kdc = kdc02.example.com
admin_server = kdc01.example.com admin_server = kdc02.example.com default_domain = example.com database_module = openldap_ldapconf
}
...
[domain_realm]
.example.com = EXAMPLE.COM
...
[dbdefaults]
ldap_kerberos_container_dn = dc=example,dc=com
[dbmodules]
openldap_ldapconf = {
db_library = kldap
ldap_kdc_dn = "cn=admin,dc=example,dc=com"
# לאובייקט זה צריך להיות זכויות קריאה
# המיכל, המיכל הראשי ותתי-עצי הממלכה ldap_kadmind_dn = "cn=admin,dc=example,dc=com"
# לאובייקט זה צריך להיות זכויות קריאה וכתיבה
# מיכל הממלכה, המיכל הראשי ותתי-עצי הממלכה ldap_service_password_file = /etc/krb5kdc/service.keyfile ldap_servers = ldaps://ldap01.example.com ldaps://ldap02.example.com ldap_conns_per_server = 5
}
3. צור את המאגר עבור סיסמת ה-LDAP הכריכה:
sudo kdb5_ldap_util -D cn=admin,dc=example,dc=com stashsrvpw -f \
/etc/krb5kdc/service.keyfile cn=admin,dc=example,dc=com
4. עכשיו, על KDC ראשי להעתיק את /etc/krb5kdc/.k5.EXAMPLE.COM מפתח ראשי מחסן ל-KDC המשני. הקפד להעתיק את הקובץ דרך חיבור מוצפן כגון scp, או במדיה פיזית.
sudo scp /etc/krb5kdc/.k5.EXAMPLE.COM [מוגן בדוא"ל]:~ sudo mv .k5.EXAMPLE.COM /etc/krb5kdc/
שוב, להחליף EXAMPLE.COM עם הממלכה האמיתית שלך.
5. חזרה על KDC משני, (מחדש) הפעל את שרת ldap בלבד,
sudo systemctl הפעל מחדש את slapd.service
6. לבסוף, הפעל את הדמון krb5-kdc:
sudo systemctl התחל krb5-kdc.service
7. ודא ששני שרתי ldap (ו-kerberos בהרחבה) מסונכרנים.
כעת יש לך KDCs מיותרים ברשת שלך, ועם שרתי LDAP מיותרים אתה אמור להיות מסוגל להמשיך לאמת משתמשים אם שרת LDAP אחד, שרת Kerberos אחד או LDAP אחד ושרת Kerberos אחד לא יהיו זמינים.