dokumentasi<Sebelum | Contents [show] | Seterusnya>
4.3. Konfigurasi KDC Sekunder
Mengkonfigurasi KDC Menengah menggunakan bahagian belakang LDAP adalah serupa dengan mengkonfigurasi KDC menggunakan pangkalan data Kerberos biasa.
1. Mula-mula, pasang pakej yang diperlukan. Dalam terminal masukkan:
sudo apt install krb5-kdc krb5-admin-server krb5-kdc-ldap
2. Seterusnya, edit /etc/krb5.conf untuk menggunakan bahagian belakang LDAP:
[libdefaults]
default_realm = EXAMPLE.COM
...
[alam]
EXAMPLE.COM = {
kdc = kdc01.example.com kdc = kdc02.example.com
admin_server = kdc01.example.com admin_server = kdc02.example.com default_domain = example.com database_module = openldap_ldapconf
}
...
[domain_realm]
.example.com = EXAMPLE.COM
...
[dbdefaults]
ldap_kerberos_container_dn = dc=contoh,dc=com
[dbmodules]
openldap_ldapconf = {
db_library = kldap
ldap_kdc_dn = "cn=admin,dc=example,dc=com"
# objek ini perlu mempunyai hak baca
# bekas alam, bekas utama dan subpokok alam ldap_kadmind_dn = "cn=admin,dc=example,dc=com"
# objek ini perlu mempunyai hak membaca dan menulis
# bekas alam, bekas utama dan subpokok alam ldap_service_password_file = /etc/krb5kdc/service.keyfile ldap_servers = ldaps://ldap01.example.com ldaps://ldap02.example.com ldap_conns_per_server = 5
}
3. Buat simpanan untuk kata laluan ikatan LDAP:
sudo kdb5_ldap_util -D cn=admin,dc=example,dc=com stashsrvpw -f \
/etc/krb5kdc/service.keyfile cn=admin,dc=example,dc=com
4. Sekarang, pada KDC utama salin /etc/krb5kdc/.k5.EXAMPLE.COM Kunci Induk simpanan kepada KDC Menengah. Pastikan anda menyalin fail melalui sambungan yang disulitkan seperti scp atau pada media fizikal.
sudo scp /etc/krb5kdc/.k5.EXAMPLE.COM [e-mel dilindungi]:~ sudo mv .k5.EXAMPLE.COM /etc/krb5kdc/
Sekali lagi, ganti EXAMPLE.COM dengan alam anda yang sebenarnya.
5. Kembali pada KDC sekunder, (semula)mulakan pelayan ldap sahaja,
sudo systemctl mulakan semula slapd.service
6. Akhir sekali, mulakan daemon krb5-kdc:
sudo systemctl mulakan krb5-kdc.service
7. Sahkan kedua-dua pelayan ldap (dan kerberos mengikut sambungan) sedang disegerakkan.
Anda kini mempunyai KDC yang berlebihan pada rangkaian anda dan dengan pelayan LDAP yang berlebihan, anda seharusnya dapat meneruskan untuk mengesahkan pengguna jika satu pelayan LDAP, satu pelayan Kerberos atau satu LDAP dan satu pelayan Kerberos menjadi tidak tersedia.