Documentatie3.3. Secundair KDC
Zodra u één Key Distribution Center (KDC) op uw netwerk heeft, is het een goede gewoonte om een Secundair KDC te hebben voor het geval het primaire niet meer beschikbaar is. Als u Kerberos-clients hebt die zich in verschillende netwerken bevinden (mogelijk gescheiden door routers die NAT gebruiken), is het verstandig om in elk van deze netwerken een secundaire KDC te plaatsen.
1. Installeer eerst de pakketten en wanneer u om de Kerberos- en Admin-servernamen wordt gevraagd, voert u de naam van de primaire KDC in:
sudo apt installeer krb5-kdc krb5-admin-server
2. Zodra u de pakketten hebt geïnstalleerd, maakt u de host-principal van de secundaire KDC. Voer vanaf een terminalprompt het volgende in:
kadmin -q "addprinc -randkey host/kdc02.example.com"
Nadat u Kadmin-opdrachten hebt gegeven, wordt u gevraagd om uw gebruikersnaam/ [e-mail beveiligd] hoofdwachtwoord.
3. Pak de uit toetstab file:
kadmin -q "ktadd -norandkey -k keytab.kdc02 host/kdc02.example.com"
4. Er zou nu een moeten zijn keytab.kdc02 in de huidige map, verplaats het bestand naar /etc/krb5.keytab:
sudo mv keytab.kdc02 /etc/krb5.keytab
Als het pad naar de keytab.kdc02 bestand is anders, dienovereenkomstig aanpassen.
U kunt ook de principals in een Keytab-bestand vermelden, wat handig kan zijn bij het oplossen van problemen, met behulp van het klist-hulpprogramma:
sudo klist -k /etc/krb5.keytab
De optie -k geeft aan dat het bestand een keytab-bestand is.
5. Vervolgens moet er een zijn kpropd.acl -bestand op elke KDC met een lijst van alle KDC's voor het rijk. Maak bijvoorbeeld op zowel het primaire als het secundaire KDC /etc/krb5kdc/kpropd.acl:
gastheer/[e-mail beveiligd] gastheer/[e-mail beveiligd]
6. Maak een lege database op de Secundair KDC:
sudo kdb5_util -s creëren
7. Start nu de kpropd-daemon, die luistert naar verbindingen van het kprop-hulpprogramma. kprop wordt gebruikt om dumpbestanden over te dragen:
sudo kpropd -S
8. Vanaf een terminal op de Primair KDC, maak een dumpbestand van de hoofddatabase:
sudo kdb5_util dump /var/lib/krb5kdc/dump
9. Pak de primaire KDC's uit toetstab bestand en kopieer het naar /etc/krb5.keytab:
kadmin -q "ktadd -k keytab.kdc01 host/kdc01.example.com" sudo mv keytab.kdc01 /etc/krb5.keytab
Zorg ervoor dat er een gastheer For kdc01.voorbeeld.com voordat u de Keytab eruit haalt.
10. Gebruik het kprop-hulpprogramma om de database naar de secundaire KDC te pushen:
sudo kprop -r EXAMPLE.COM -f /var/lib/krb5kdc/dump kdc02.example.com
Er zou een moeten zijn GESLAAGD bericht als de voortplanting heeft gewerkt. Controleer of er een foutmelding is / Var / log / syslog op het secundaire KDC voor meer informatie.
Mogelijk wilt u ook een cron-taak maken om de database op de secundaire KDC periodiek bij te werken. Het volgende zal bijvoorbeeld elk uur de database pushen (merk op dat de lange regel is opgesplitst om in het formaat van dit document te passen):
# mh dom mon dow commando
0 * * * * /usr/sbin/kdb5_util dump /var/lib/krb5kdc/dump &&
/usr/sbin/kprop -r EXAMPLE.COM -f /var/lib/krb5kdc/dump kdc02.example.com
11. Terug op de Secundair KDC, Maak een stash bestand dat de Kerberos-hoofdsleutel bevat:
sudo kdb5_util stash
12. Start ten slotte de krb5-kdc-daemon op de secundaire KDC:
sudo systemctl start krb5-kdc.service
De Secundair KDC zou nu kaartjes voor het rijk moeten kunnen uitgeven. U kunt dit testen door de krb5-kdc-daemon op de primaire KDC te stoppen en vervolgens kinit te gebruiken om een ticket aan te vragen. Als alles goed gaat, moet je dat doen
ontvang een kaartje van het Secundaire KDC. Controleer anders / Var / log / syslog en /var/log/auth.log in het secundaire KDC.