dokumentasi<Sebelum | Contents [show] | Seterusnya>
3.3. KDC sekunder
Sebaik sahaja anda mempunyai satu Pusat Pengedaran Utama (KDC) pada rangkaian anda, adalah amalan yang baik untuk mempunyai KDC Menengah sekiranya yang utama tidak tersedia. Selain itu, jika anda mempunyai klien Kerberos yang berada dalam rangkaian berbeza (mungkin dipisahkan oleh penghala menggunakan NAT), adalah bijak untuk meletakkan KDC sekunder dalam setiap rangkaian tersebut.
1. Mula-mula, pasang pakej, dan apabila diminta untuk nama pelayan Kerberos dan Admin masukkan nama KDC Utama:
sudo apt pasang krb5-kdc krb5-admin-server
2. Setelah anda memasang pakej, cipta pengetua hos KDC Menengah. Daripada gesaan terminal, masukkan:
kadmin -q "addprinc -randkey hos/kdc02.example.com"
Selepas, mengeluarkan sebarang arahan kadmin anda akan digesa untuk nama pengguna anda/ [e-mel dilindungi] kata laluan utama.
3. Ekstrak tab kekunci fail:
kadmin -q "ktadd -norandkey -k keytab.kdc02 hos/kdc02.example.com"
4. Kini perlu ada a keytab.kdc02 dalam direktori semasa, alihkan fail ke /etc/krb5.keytab:
sudo mv keytab.kdc02 /etc/krb5.keytab
Jika jalan ke keytab.kdc02 fail adalah berbeza menyesuaikan dengan sewajarnya.
Selain itu, anda boleh menyenaraikan prinsipal dalam fail Tab Kekunci, yang boleh berguna apabila menyelesaikan masalah, menggunakan utiliti klist:
sudo klist -k /etc/krb5.keytab
Pilihan -k menunjukkan fail tersebut ialah fail tab kekunci.
5. Seterusnya, perlu ada a kpropd.acl fail pada setiap KDC yang menyenaraikan semua KDC untuk Alam. Sebagai contoh, pada KDC primer dan sekunder, buat /etc/krb5kdc/kpropd.acl:
tuan rumah/[e-mel dilindungi] tuan rumah/[e-mel dilindungi]
6. Cipta pangkalan data kosong pada KDC sekunder:
sudo kdb5_util -s buat
7. Sekarang mulakan daemon kpropd, yang mendengar sambungan daripada utiliti kprop. kprop digunakan untuk memindahkan fail dump:
sudo kpropd -S
8. Dari terminal pada KDC utama, buat fail dump pangkalan data utama:
sudo kdb5_util dump /var/lib/krb5kdc/dump
9. Ekstrak KDC Utama tab kekunci fail dan salin ke /etc/krb5.keytab:
kadmin -q "ktadd -k keytab.kdc01 hos/kdc01.example.com" sudo mv keytab.kdc01 /etc/krb5.keytab
Pastikan ada a tuan rumah Untuk kdc01.example.com sebelum mengekstrak Tab Kekunci.
10. Menggunakan utiliti kprop tolak pangkalan data ke KDC Menengah:
sudo kprop -r EXAMPLE.COM -f /var/lib/krb5kdc/dump kdc02.example.com
Perlu ada BERJAYA mesej jika penyebaran berfungsi. Jika terdapat semakan mesej ralat / var / log / syslog pada KDC sekunder untuk maklumat lanjut.
Anda juga mungkin ingin membuat kerja cron untuk mengemas kini pangkalan data secara berkala pada KDC Menengah. Sebagai contoh, perkara berikut akan menolak pangkalan data setiap jam (perhatikan barisan panjang telah dipecahkan agar sesuai dengan format dokumen ini):
# mh dom mon dow arahan
0 * * * * /usr/sbin/kdb5_util dump /var/lib/krb5kdc/dump &&
/usr/sbin/kprop -r EXAMPLE.COM -f /var/lib/krb5kdc/dump kdc02.example.com
11. Kembali pada KDC sekunder, buat a tutup fail untuk memegang kunci induk Kerberos:
sudo kdb5_util stash
12. Akhir sekali, mulakan daemon krb5-kdc pada KDC Menengah:
sudo systemctl mulakan krb5-kdc.service
. KDC sekunder kini sepatutnya boleh mengeluarkan tiket untuk Realm. Anda boleh menguji ini dengan menghentikan daemon krb5-kdc pada KDC Utama, kemudian dengan menggunakan kinit untuk meminta tiket. Jika semuanya berjalan lancar anda sepatutnya
menerima tiket daripada KDC Menengah. Jika tidak, semak / var / log / syslog and /var/log/auth.log dalam KDC Menengah.