OnWorks Linux và Windows Online WorkStations

Logo

Lưu trữ trực tuyến miễn phí cho máy trạm

<Trước | Nội dung | Tiếp theo>

4.3. Cấu hình KDC phụ


Định cấu hình KDC phụ bằng cách sử dụng phụ trợ LDAP tương tự như định cấu hình một KDC bằng cách sử dụng cơ sở dữ liệu Kerberos bình thường.


1. Đầu tiên, hãy cài đặt các gói cần thiết. Trong một thiết bị đầu cuối, hãy nhập:


sudo apt cài đặt krb5-kdc krb5-admin-server krb5-kdc-ldap

2. Tiếp theo, chỉnh sửa /etc/krb5.conf để sử dụng phần phụ trợ LDAP:


[libdefaults]

default_realm = EXAMPLE.COM


...


[cảnh giới]

VÍ DỤ.COM = {

kdc = kdc01.example.com kdc = kdc02.example.com

admin_server = kdc01.example.com admin_server = kdc02.example.com default_domain = example.com cơ sở dữ liệu_module = openldap_ldapconf

}


...



[miền_cõi]

.example.com = EXAMPLE.COM


...


[dbdefaults]

ldap_kerberos_container_dn = dc = ví dụ, dc = com


[dbmô-đun]

openldap_ldapconf = {

db_library = kldap

ldap_kdc_dn = "cn = admin, dc = example, dc = com"


# đối tượng này cần có quyền đọc trên

# vùng chứa vùng, vùng chứa chính và cây con của vùng ldap_kadmind_dn = "cn = admin, dc = example, dc = com"


# đối tượng này cần có quyền đọc và ghi trên

# vùng chứa vùng, vùng chứa chính và cây con của vùng ldap_service_password_file = /etc/krb5kdc/service.keyfile ldap_servers = ldaps: //ldap01.example.com ldaps: //ldap02.example.com ldap_conns_per_server = 5

}

3. Tạo kho lưu trữ cho mật khẩu liên kết LDAP:


sudo kdb5_ldap_util -D cn = admin, dc = example, dc = com stashsrvpw -f \

/etc/krb5kdc/service.keyfile cn = admin, dc = example, dc = com

4. Bây giờ, trên KDC chính sao chép /etc/krb5kdc/.k5.EXAMPLE.COM Khóa chính sang KDC phụ. Đảm bảo sao chép tệp qua kết nối được mã hóa như scp hoặc trên phương tiện vật lý.


sudo scp /etc/krb5kdc/.k5.EXAMPLE.COM [email được bảo vệ]:~ sudo mv .k5.EXAMPLE.COM /etc/krb5kdc/


hình ảnh

Một lần nữa, thay thế VÍ DỤ.COM với lĩnh vực thực tế của bạn.


5. Quay lại KDC phụ, (lại) chỉ khởi động máy chủ ldap,


sudo systemctl khởi động lại tátd.service

6. Cuối cùng, khởi động daemon krb5-kdc:


Sudo systemctl bắt đầu krb5-kdc.service

7. Xác minh hai máy chủ ldap (và kerberos theo phần mở rộng) có đồng bộ với nhau hay không.


Giờ đây, bạn có các KDC dư thừa trên mạng của mình và với các máy chủ LDAP dự phòng, bạn có thể tiếp tục xác thực người dùng nếu một máy chủ LDAP, một máy chủ Kerberos hoặc một LDAP và một máy chủ Kerberos không khả dụng.


  

 

<Trước | Nội dung | Tiếp theo>

  

Điện toán đám mây hệ điều hành hàng đầu tại OnWorks: