ドキュメント4.3. セカンダリ KDC 構成
LDAP バックエンドを使用したセカンダリ KDC の構成は、通常の Kerberos データベースを使用したセカンダリ KDC の構成と似ています。
1. まず、必要なパッケージをインストールします。 ターミナルに次のように入力します。
sudo apt install krb5-kdc krb5-admin-server krb5-kdc-ldap
2. 次に編集します /etc/krb5.conf LDAP バックエンドを使用するには:
[libdefaults]
default_realm = EXAMPLE.COM
...
[レルム]
Example.COM = {
kdc = kdc01.example.com kdc = kdc02.example.com
admin_server = kdc01.example.com admin_server = kdc02.example.comdefault_domain = example.comdatabase_module = openldap_ldapconf
}
...
[ドメイン_レルム]
.example.com = 例.COM
...
[データベースデフォルト]
ldap_kerberos_container_dn = dc=example,dc=com
[データベースモジュール]
openldap_ldapconf = {
db_library = kldap
ldap_kdc_dn = "cn=管理者、dc=例、dc=com"
# このオブジェクトには読み取り権限が必要です
# レルム コンテナ、プリンシパル コンテナ、およびレルム サブツリー ldap_kadmind_dn = "cn=admin,dc=example,dc=com"
# このオブジェクトには読み取りおよび書き込み権限が必要です
# レルムコンテナ、プリンシパルコンテナ、およびレルムサブツリー ldap_service_password_file = /etc/krb5kdc/service.keyfile ldap_servers = ldaps://ldap01.example.com ldaps://ldap02.example.com ldap_conns_per_server = 5
}
3. LDAP バインド パスワードのスタッシュを作成します。
sudo kdb5_ldap_util -D cn=admin,dc=example,dc=com stashsrvpw -f \
/etc/krb5kdc/service.keyfile cn=admin,dc=example,dc=com
4.さて、 プライマリ KDC コピーする /etc/krb5kdc/.k5.EXAMPLE.COM マスターキー セカンダリ KDC に隠します。 必ず、scp などの暗号化された接続を介して、または物理メディアにファイルをコピーしてください。
sudo scp /etc/krb5kdc/.k5.EXAMPLE.COM [メール保護]:~ sudo mv .k5.EXAMPLE.COM /etc/krb5kdc/
繰り返しますが、交換してください Example.COM 実際の領域で。
5. 元に戻ります セカンダリ KDC、LDAP サーバーのみを (再) 起動します。
sudo systemctl 再起動slapd.service
6. 最後に、krb5-kdc デーモンを起動します。
sudo systemctl start krb5-kdc.service
7. XNUMX つの LDAP サーバー (拡張子として Kerberos) が同期していることを確認します。
これで、ネットワーク上に冗長 KDC が設定され、冗長 LDAP サーバーを使用すると、XNUMX つの LDAP サーバー、XNUMX つの Kerberos サーバー、または XNUMX つの LDAP サーバーと XNUMX つの Kerberos サーバーが使用できなくなった場合でも、ユーザーの認証を継続できるはずです。