เวิร์กสเตชันออนไลน์ของ OnWorks Linux และ Windows

โลโก้

ฟรีโฮสติ้งออนไลน์สำหรับเวิร์กสเตชัน

<ก่อนหน้านี้ | Contents | ถัดไป>

3.3. KDC รอง


เมื่อคุณมี Key Distribution Center (KDC) หนึ่งแห่งบนเครือข่ายของคุณ แนวทางปฏิบัติที่ดีที่จะมี KDC สำรองในกรณีที่หลักจะใช้งานไม่ได้ นอกจากนี้ หากคุณมีไคลเอ็นต์ Kerberos ที่อยู่ในเครือข่ายต่างกัน (อาจแยกจากเราเตอร์โดยใช้ NAT) ก็ควรที่จะวาง KDC สำรองในแต่ละเครือข่ายเหล่านั้น


1. ขั้นแรก ติดตั้งแพ็คเกจ และเมื่อถามถึงชื่อเซิร์ฟเวอร์ Kerberos และผู้ดูแลระบบ ให้ป้อนชื่อ KDC หลัก:


sudo apt ติดตั้ง krb5-kdc krb5-admin-server

2. เมื่อคุณติดตั้งแพ็คเกจแล้ว ให้สร้างหลักโฮสต์ของ Secondary KDC จากพรอมต์เทอร์มินัล ให้ป้อน:


kadmin -q "addprinc -randkey host/kdc02.example.com"


ภาพ

หลังจากนั้น ออกคำสั่ง kadmin ใด ๆ คุณจะได้รับพร้อมท์ให้ใส่ชื่อผู้ใช้/ [ป้องกันอีเมล] รหัสผ่านหลัก


3. ดึงข้อมูล คีย์แท็บ ไฟล์:


kadmin -q "ktadd -norandkey -k keytab.kdc02 โฮสต์/kdc02.example.com"

4. ตอนนี้ควรจะมี คีย์แท็บ.kdc02 ในไดเร็กทอรีปัจจุบัน ให้ย้ายไฟล์ไปที่ /etc/krb5.keytab:


sudo mv keytab.kdc02 /etc/krb5.keytab


ภาพ

หากเส้นทางสู่ คีย์แท็บ.kdc02 ไฟล์จะแตกต่างกันปรับตาม


นอกจากนี้ คุณยังสามารถแสดงรายการหลักการในไฟล์ Keytab ซึ่งอาจเป็นประโยชน์ในการแก้ไขปัญหา โดยใช้ยูทิลิตี้ klist:


sudo klist -k /etc/krb5.keytab


อ็อพชัน -k ระบุว่าไฟล์นั้นเป็นไฟล์คีย์แท็บ

5. ต่อไป จะต้องมี kpropd.acl ไฟล์ในแต่ละ KDC ที่แสดงรายการ KDC ทั้งหมดสำหรับอาณาจักร ตัวอย่างเช่น บน KDC ทั้งหลักและรอง ให้สร้าง /etc/krb5kdc/kpropd.acl:


เจ้าภาพ/[ป้องกันอีเมล] เจ้าภาพ/[ป้องกันอีเมล]

6. สร้างฐานข้อมูลเปล่าบน KDC รอง:


sudo kdb5_util -s สร้าง

7. ตอนนี้ ให้เริ่ม kpropd daemon ซึ่งจะรอรับการเชื่อมต่อจากยูทิลิตี้ kprop kprop ใช้ในการถ่ายโอนไฟล์ดัมพ์:


sudo kpropd -S

8. จากเทอร์มินัลบน ป.ป.ช., สร้างไฟล์ดัมพ์ของฐานข้อมูลหลัก:


sudo kdb5_util ดัมพ์ /var/lib/krb5kdc/dump

9. แยก KDC หลัก คีย์แท็บ ไฟล์และคัดลอกไปที่ /etc/krb5.keytab:


kadmin -q "ktadd -k keytab.kdc01 host/kdc01.example.com" sudo mv keytab.kdc01 /etc/krb5.keytab


ภาพ

ตรวจสอบให้แน่ใจว่ามี เจ้าภาพ สำหรับ kdc01.example.com ก่อนทำการแตกคีย์แท็บ


10. การใช้ยูทิลิตี kprop จะพุชฐานข้อมูลไปที่ Secondary KDC:


sudo kprop -r EXAMPLE.COM -f /var/lib/krb5kdc/ดัมพ์ kdc02.example.com


ภาพ

ควรมี ที่ประสบความสำเร็จ ข้อความถ้าการขยายพันธุ์ทำงาน หากมีการตรวจสอบข้อความแสดงข้อผิดพลาด / var / log / syslog ใน KDC รองสำหรับข้อมูลเพิ่มเติม


คุณอาจต้องการสร้างงาน cron เพื่ออัปเดตฐานข้อมูลใน Secondary KDC เป็นระยะ ตัวอย่างเช่น ข้อมูลต่อไปนี้จะพุชฐานข้อมูลทุกชั่วโมง (โปรดทราบว่ามีการแยกบรรทัดยาวเพื่อให้พอดีกับรูปแบบของเอกสารนี้):


# mh dom mon dow command

0 * * * * /usr/sbin/kdb5_util dump /var/lib/krb5kdc/dump &&

/usr/sbin/kprop -r EXAMPLE.COM -f /var/lib/krb5kdc/ดัมพ์ kdc02.example.com

11. กลับมาที่ KDC รอง, สร้าง a ซ่อน ไฟล์เพื่อเก็บคีย์หลัก Kerberos:


sudo kdb5_util ซ่อน

12. สุดท้าย เริ่ม krb5-kdc daemon บน KDC รอง:


sudo systemctl เริ่ม krb5-kdc.service


การขอ KDC รอง ตอนนี้ควรจะสามารถออกตั๋วสำหรับอาณาจักรได้แล้ว คุณสามารถทดสอบได้โดยหยุด krb5-kdc daemon บน KDC หลัก จากนั้นใช้ kinit เพื่อขอตั๋ว ถ้าทุกอย่างเป็นไปด้วยดีคุณควร

รับตั๋วจาก KDC รอง มิฉะนั้น ตรวจสอบ / var / log / syslog และ /var/log/auth.log ใน KDC รอง


  

 

<ก่อนหน้านี้ | Contents | ถัดไป>

  

ระบบปฏิบัติการคลาวด์คอมพิวติ้งยอดนิยมที่ OnWorks: