OnWorks Linux و Windows Online WorkStations

Menu
الشعار

استضافة مجانية على الإنترنت لمحطات العمل

<السابق | المحتويات | التالي>

3.3 KDC الثانوي


بمجرد أن يكون لديك مركز توزيع مفاتيح واحد (KDC) على شبكتك ، فمن الممارسات الجيدة أن يكون لديك مركز توزيع مفاتيح ثانوي في حالة عدم توفر المركز الأساسي. أيضًا ، إذا كان لديك عملاء Kerberos موجودون في شبكات مختلفة (ربما تكون مفصولة بأجهزة توجيه باستخدام NAT) ، فمن الحكمة وضع مركز توزيع مركزي ثانوي في كل شبكة من هذه الشبكات.


1. أولاً ، قم بتثبيت الحزم ، وعندما يُطلب منك اسم Kerberos و Admin server ، أدخل اسم مركز توزيع المفاتيح الأساسي:


sudo apt تثبيت krb5-kdc krb5-admin-server

2. بمجرد تثبيت الحزم ، قم بإنشاء مدير مضيف KDC الثانوي. من موجه طرفي ، أدخل:


kadmin -q "addprinc -randkey host / kdc02.example.com"


صورة

بعد إصدار أي أوامر kadmin ، سيُطلب منك اسم المستخدم / admin@EXAMPLE.COM كلمة المرور الرئيسية.


3. استخراج ملف لوحة المفاتيح ملف:


kadmin -q "ktadd -norandkey -k keytab.kdc02 host / kdc02.example.com"

4. يجب أن يكون هناك الآن ملف keytab.kdc02 في الدليل الحالي ، انقل الملف إلى /etc/krb5.keytab:


sudo mv keytab.kdc02 /etc/krb5.keytab


صورة

إذا كان المسار إلى ملف keytab.kdc02 الملف مختلف اضبط وفقًا لذلك.


يمكنك أيضًا سرد الأساسيات في ملف Keytab ، والذي يمكن أن يكون مفيدًا عند استكشاف الأخطاء وإصلاحها باستخدام الأداة المساعدة klist:


Sudo klist -k /etc/krb5.keytab


يشير الخيار -k إلى أن الملف عبارة عن ملف keytab.

5. بعد ذلك ، يجب أن يكون هناك ملف kpropd.acl ملف على كل مركز توزيع مركزي يسرد جميع مراكز توزيع المفاتيح للمملكة. على سبيل المثال ، في مركز توزيع المفاتيح الأساسي والثانوي ، قم بإنشاء /etc/krb5kdc/kpropd.acl:


يستضيف/kdc01.example.com@EXAMPLE.COM يستضيف/kdc02.example.com@EXAMPLE.COM

6. قم بإنشاء قاعدة بيانات فارغة على KDC الثانوي:


sudo kdb5_util-s إنشاء

7. الآن ابدأ البرنامج الخفي kpropd ، الذي يستمع للاتصالات من الأداة المساعدة kprop. يستخدم kprop لنقل ملفات التفريغ:


سودو كبروبد -S

8. من محطة على مركز توزيع المفاتيح الأساسي، قم بإنشاء ملف تفريغ لقاعدة البيانات الرئيسية:


sudo kdb5_util dump / var / lib / krb5kdc / dump

9. استخراج مراكز توزيع المفاتيح الأساسية لوحة المفاتيح ملف وانسخه إلى /etc/krb5.keytab:


kadmin -q "ktadd -k keytab.kdc01 host / kdc01.example.com" sudo mv keytab.kdc01 /etc/krb5.keytab


صورة

تأكد من وجود ملف مضيف لـ kdc01.example.com قبل استخراج Keytab.


10. باستخدام الأداة المساعدة kprop ، دفع قاعدة البيانات إلى مركز توزيع المفاتيح الثانوي:


sudo kprop -r EXAMPLE.COM -f / var / lib / krb5kdc / dump kdc02.example.com


صورة

يجب أن يكون هناك نجح رسالة إذا نجح التكاثر. إذا كان هناك رسالة خطأ تحقق / فار / سجل / سيسلوغ على KDC الثانوي لمزيد من المعلومات.


قد ترغب أيضًا في إنشاء وظيفة cron لتحديث قاعدة البيانات بشكل دوري على مركز توزيع المفاتيح الثانوي. على سبيل المثال ، سيؤدي ما يلي إلى دفع قاعدة البيانات كل ساعة (لاحظ أن الخط الطويل قد تم تقسيمه ليناسب تنسيق هذا المستند):


# mh dom mon dow command

0 * * * * / usr / sbin / kdb5_util dump / var / lib / krb5kdc / dump &&

/ usr / sbin / kprop -r EXAMPLE.COM -f / var / lib / krb5kdc / dump kdc02.example.com

11. مرة أخرى على KDC الثانوي، إنشاء خبأ ملف ليحمل مفتاح Kerberos الرئيسي:


sudo kdb5_util stash

12. أخيرًا ، ابدأ البرنامج الخفي krb5-kdc في مركز توزيع المفاتيح الثانوي:


sudo systemctl ابدأ خدمة krb5-kdc


إنّ KDC الثانوي يجب أن يكون الآن قادرًا على إصدار تذاكر للمملكة. يمكنك اختبار ذلك عن طريق إيقاف البرنامج الخفي krb5-kdc في مركز توزيع المفاتيح الرئيسي ، ثم باستخدام kinit لطلب تذكرة. إذا سارت الأمور على ما يرام يجب عليك

استلام تذكرة من مركز توزيع المفاتيح الثانوي (KDC). خلاف ذلك ، تحقق / فار / سجل / سيسلوغ /var/log/auth.log في مركز توزيع المفاتيح الثانوي.


  

 

<السابق | المحتويات | التالي>

  

أفضل الحوسبة السحابية لنظام التشغيل في OnWorks: