OnWorks Linux và Windows Online WorkStations

Logo

Lưu trữ trực tuyến miễn phí cho máy trạm

<Trước | Nội dung | Tiếp theo>

3.3. KDC phụ


Sau khi bạn có một Trung tâm phân phối chính (KDC) trên mạng của mình, bạn nên có một KDC phụ trong trường hợp cơ sở chính không khả dụng. Ngoài ra, nếu bạn có các máy khách Kerberos nằm trong các mạng khác nhau (có thể được phân tách bằng bộ định tuyến sử dụng NAT), bạn nên đặt một KDC phụ trong mỗi mạng đó.


1. Đầu tiên, hãy cài đặt các gói và khi được yêu cầu nhập tên máy chủ Quản trị và Kerberos, hãy nhập tên của KDC chính:


sudo apt cài đặt krb5-kdc krb5-admin-server

2. Sau khi bạn đã cài đặt các gói, hãy tạo máy chủ chính của KDC phụ. Từ lời nhắc đầu cuối, hãy nhập:


kadmin -q "addprinc -randkey host / kdc02.example.com"


hình ảnh

Sau khi đưa ra bất kỳ lệnh kadmin nào, bạn sẽ được nhắc nhập tên người dùng của mình / [email được bảo vệ] mật khẩu chính.


3. Giải nén bàn phím tập tin:


kadmin -q "ktadd -norandkey -k keytab.kdc02 host / kdc02.example.com"

4. Bây giờ nên có một keytab.kdc02 trong thư mục hiện tại, di chuyển tệp đến /etc/krb5.keytab:


sudo mv keytab.kdc02 /etc/krb5.keytab


hình ảnh

Nếu đường dẫn đến keytab.kdc02 tập tin là khác nhau điều chỉnh cho phù hợp.


Ngoài ra, bạn có thể liệt kê các nguyên tắc trong tệp Keytab, có thể hữu ích khi khắc phục sự cố, bằng cách sử dụng tiện ích klist:


sudo klist -k /etc/krb5.keytab


Tùy chọn -k cho biết tệp là tệp keytab.

5. Tiếp theo, cần có một kpropd.acl tập tin trên mỗi KDC liệt kê tất cả các KDC cho Realm. Ví dụ: trên cả KDC chính và phụ, hãy tạo /etc/krb5kdc/kpropd.acl:


tổ chức/[email được bảo vệ] tổ chức/[email được bảo vệ]

6. Tạo một cơ sở dữ liệu trống trên KDC phụ:


sudo kdb5_util -s tạo

7. Bây giờ khởi động trình nền kpropd, nó sẽ lắng nghe các kết nối từ tiện ích kprop. kprop được sử dụng để chuyển các tệp kết xuất:


sudo kpropd -S

8. Từ một thiết bị đầu cuối trên KDC chính, tạo tệp kết xuất của cơ sở dữ liệu chính:


sudo kdb5_util dump / var / lib / krb5kdc / dump

9. Trích KDC chính bàn phím tập tin và sao chép nó vào /etc/krb5.keytab:


kadmin -q "ktadd -k keytab.kdc01 host / kdc01.example.com" sudo mv keytab.kdc01 /etc/krb5.keytab


hình ảnh

Hãy chắc chắn rằng có một chủ nhà cho kdc01.example.com trước khi giải nén Keytab.


10. Sử dụng tiện ích kprop đẩy cơ sở dữ liệu đến KDC phụ:


sudo kprop -r EXAMPLE.COM -f / var / lib / krb5kdc / dump kdc02.example.com


hình ảnh

Nên có một ĐÃ THÀNH CÔNG thông báo nếu việc truyền bá hoạt động. Nếu có một thông báo lỗi, hãy kiểm tra / var / log / syslog trên KDC phụ để biết thêm thông tin.


Bạn cũng có thể muốn tạo một công việc cron để cập nhật định kỳ cơ sở dữ liệu trên KDC phụ. Ví dụ: phần sau sẽ đẩy cơ sở dữ liệu mỗi giờ (lưu ý dòng dài đã được tách ra để phù hợp với định dạng của tài liệu này):


# mh dom mon dow lệnh

0 * * * * / usr / sbin / kdb5_util dump / var / lib / krb5kdc / dump &&

/ usr / sbin / kprop -r EXAMPLE.COM -f / var / lib / krb5kdc / dump kdc02.example.com

11. Quay lại KDC phụ, tạo một cất tệp để giữ khóa chính của Kerberos:


kho lưu trữ sudo kdb5_util

12. Cuối cùng, khởi động daemon krb5-kdc trên KDC phụ:


Sudo systemctl bắt đầu krb5-kdc.service


KDC phụ bây giờ sẽ có thể phát hành vé cho Realm. Bạn có thể kiểm tra điều này bằng cách dừng daemon krb5-kdc trên KDC chính, sau đó sử dụng kinit để yêu cầu một vé. Nếu mọi việc suôn sẻ, bạn nên

nhận phiếu từ KDC phụ. Nếu không, hãy kiểm tra / var / log / syslog /var/log/auth.log trong KDC Phụ.


  

 

<Trước | Nội dung | Tiếp theo>

  

Điện toán đám mây hệ điều hành hàng đầu tại OnWorks: