Dokumenty<Poprzedni | Spis treści | Następne>
3.3. Drugi KDC
Gdy w sieci istnieje już jedno centrum dystrybucji kluczy (KDC), dobrą praktyką jest posiadanie dodatkowego centrum dystrybucji kluczy na wypadek, gdyby główne centrum dystrybucji stało się niedostępne. Ponadto, jeśli masz klientów Kerberos znajdujących się w różnych sieciach (prawdopodobnie oddzielonych routerami korzystającymi z NAT), mądrze jest umieścić dodatkowe KDC w każdej z tych sieci.
1. Najpierw zainstaluj pakiety, a gdy zostaniesz poproszony o podanie nazw serwerów Kerberos i Admin, wpisz nazwę podstawowego KDC:
sudo apt zainstaluj krb5-kdc krb5-admin-server
2. Po zainstalowaniu pakietów utwórz głównego hosta pomocniczego KDC. W wierszu poleceń terminala wpisz:
kadmin -q "addprinc -randkey host/kdc02.example.com"
Po wydaniu jakichkolwiek poleceń kadmin zostaniesz poproszony o podanie nazwy użytkownika/ [email chroniony] główne hasło.
3. Wyodrębnij klawiatura file:
kadmin -q "ktadd -norandkey -k keytab.kdc02 host/kdc02.example.com"
4. Powinien teraz istnieć a tablica kluczy.kdc02 w bieżącym katalogu przenieś plik do /etc/krb5.keytab:
sudo mv keytab.kdc02 /etc/krb5.keytab
Jeżeli ścieżka do tablica kluczy.kdc02 plik jest inny, odpowiednio dostosuj.
Możesz także wyświetlić listę podmiotów zabezpieczeń w pliku Keytab, co może być przydatne przy rozwiązywaniu problemów za pomocą narzędzia klist:
sudo klist -k /etc/krb5.keytab
Opcja -k wskazuje, że plik jest plikiem tablicy kluczy.
5. Następnie musi być kpropd.acl plik na każdym KDC, który zawiera listę wszystkich KDC dla Królestwa. Na przykład zarówno na podstawowym, jak i dodatkowym KDC utwórz /etc/krb5kdc/kpropd.acl:
gospodarz/[email chroniony] gospodarz/[email chroniony]
6. Utwórz pustą bazę danych na Dodatkowy KDC:
sudo kdb5_util -s utwórz
7. Teraz uruchom demona kpropd, który nasłuchuje połączeń z narzędzia kprop. kprop służy do przesyłania plików zrzutu:
sudo kpropd -S
8. Z terminala na Podstawowy KDC, utwórz plik zrzutu głównej bazy danych:
sudo kdb5_util zrzut /var/lib/krb5kdc/dump
9. Wyodrębnij podstawowe KDC klawiatura plik i skopiuj go do /etc/krb5.keytab:
kadmin -q "ktadd -k keytab.kdc01 host/kdc01.example.com" sudo mv keytab.kdc01 /etc/krb5.keytab
Upewnij się, że jest gospodarz dla kdc01.example.com przed wyodrębnieniem Keytab.
10. Za pomocą narzędzia kprop wypchnij bazę danych do dodatkowego KDC:
sudo kprop -r PRZYKŁAD.COM -f /var/lib/krb5kdc/dump kdc02.example.com
Powinno być UDAŁO SIĘ wiadomość, jeśli propagacja zadziałała. Jeśli pojawił się komunikat o błędzie, sprawdź / var / log / syslog na dodatkowym KDC, aby uzyskać więcej informacji.
Możesz także utworzyć zadanie cron, aby okresowo aktualizować bazę danych na dodatkowym KDC. Na przykład poniższe polecenie będzie przesyłać bazę danych co godzinę (zwróć uwagę, że długa linia została podzielona, aby dopasować ją do formatu tego dokumentu):
# mh dom mon dow polecenie
0 * * * * /usr/sbin/kdb5_util dump /var/lib/krb5kdc/dump &&
/usr/sbin/kprop -r PRZYKŁAD.COM -f /var/lib/krb5kdc/dump kdc02.example.com
11. Z powrotem na Dodatkowy KDC, Stwórz chować na potem plik do przechowywania klucza głównego Kerberos:
sudo kdb5_util schowek
12. Na koniec uruchom demona krb5-kdc na dodatkowym KDC:
sudo systemctl uruchom krb5-kdc.service
Opona Dodatkowy KDC powinien teraz móc wystawiać bilety do Królestwa. Możesz to przetestować, zatrzymując demona krb5-kdc na podstawowym KDC, a następnie używając kinit w celu zażądania biletu. Jeśli wszystko pójdzie dobrze, powinieneś
otrzymać bilet z Secondary KDC. W przeciwnym razie sprawdź / var / log / syslog i /var/log/auth.log w II Liceum KDC.