文件记录4.3. 辅助 KDC 配置
使用 LDAP 后端配置辅助 KDC 类似于使用普通 Kerberos 数据库配置一个。
1. 首先,安装必要的包。 在终端输入:
sudo apt 安装 krb5-kdc krb5-admin-server krb5-kdc-ldap
2.接下来,编辑 /etc/krb5.conf 使用 LDAP 后端:
[库默认值]
default_realm =EXAMPLE.COM
...
[领域]
示例.COM = {
kdc = kdc01.example.com kdc = kdc02.example.com
admin_server = kdc01.example.com admin_server = kdc02.example.com default_domain = example.com database_module = openldap_ldapconf
}
...
[域领域]
.example.com = 示例.COM
...
[数据库默认值]
ldap_kerberos_container_dn = dc=示例,dc=com
[数据库模块]
openldap_ldapconf = {
db_library = kldap
ldap_kdc_dn = "cn=admin,dc=example,dc=com"
# 这个对象需要有读权限
# 领域容器、主体容器和领域子树 ldap_kadmind_dn = "cn=admin,dc=example,dc=com"
# 这个对象需要有读写权限
# 领域容器、主体容器和领域子树 ldap_service_password_file = /etc/krb5kdc/service.keyfile ldap_servers = ldaps://ldap01.example.com ldaps://ldap02.example.com ldap_conns_per_server = 5
}
3. 为 LDAP 绑定密码创建存储:
须藤 kdb5_ldap_util -D cn=admin,dc=example,dc=com stashsrvpw -f \
/etc/krb5kdc/service.keyfile cn=admin,dc=example,dc=com
4. 现在,在 主要 KDC 复制 /etc/krb5kdc/.k5.EXAMPLE.COM 主密钥 存储到辅助 KDC。 请务必通过加密连接(例如 scp)或物理介质复制文件。
sudo scp /etc/krb5kdc/.k5.EXAMPLE.COM [电子邮件保护]:~ sudo mv .k5.EXAMPLE.COM /etc/krb5kdc/
再次更换 例子.COM 与您的实际领域。
5. 回到 辅助 KDC,(重新)仅启动 LDAP 服务器,
须藤 systemctl 重启 slapd.service
6. 最后,启动 krb5-kdc 守护进程:
须藤 systemctl 启动 krb5-kdc.service
7. 验证两个 ldap 服务器(以及扩展的 kerberos)是否同步。
现在,您的网络上有冗余 KDC,并且有了冗余 LDAP 服务器,您应该能够在一台 LDAP 服务器、一台 Kerberos 服务器或一台 LDAP 和一台 Kerberos 服务器不可用时继续对用户进行身份验证。