Dokumenty<Poprzedni | Spis treści | Następne>
4.3. Wtórna konfiguracja KDC
Konfigurowanie dodatkowego KDC przy użyciu zaplecza LDAP jest podobne do konfigurowania przy użyciu normalnej bazy danych Kerberos.
1. Najpierw zainstaluj niezbędne pakiety. W terminalu wpisz:
sudo apt zainstaluj krb5-kdc krb5-admin-server krb5-kdc-ldap
2. Następnie edytuj /etc/krb5.conf aby użyć backendu LDAP:
[libdomyślne]
default_realm = PRZYKŁAD.COM
...
[sfery]
PRZYKŁAD.COM = {
kdc = kdc01.example.com kdc = kdc02.example.com
serwer_administracyjny = kdc01.example.com serwer_administracyjny = kdc02.example.com domyślna_domena = example.com moduł_bazy_danych = openldap_ldapconf
}
...
[domena_dziedzina]
.example.com = PRZYKŁAD.COM
...
[dbdomyślne]
ldap_kerberos_container_dn = dc=przykład,dc=com
[moduły db]
openldap_ldapconf = {
biblioteka_db = kldap
ldap_kdc_dn = "cn=admin,dc=przykład,dc=com"
# ten obiekt musi mieć włączone prawa do odczytu
# kontener dziedziny, kontener główny i poddrzewa dziedziny ldap_kadmind_dn = "cn=admin,dc=example,dc=com"
# ten obiekt musi mieć uprawnienia do odczytu i zapisu na
# kontener dziedziny, główny kontener i poddrzewa dziedzin ldap_service_password_file = /etc/krb5kdc/service.keyfile ldap_servers = ldaps://ldap01.example.com ldaps://ldap02.example.com ldap_conns_per_server = 5
}
3. Utwórz schowek na hasło powiązania LDAP:
sudo kdb5_ldap_util -D cn=admin,dc=przykład,dc=com stashsrvpw -f \
/etc/krb5kdc/service.keyfile cn=admin,dc=przykład,dc=com
4. Teraz na Podstawowy KDC skopiuj /etc/krb5kdc/.k5.PRZYKŁAD.COM Klucz główny schowaj do drugorzędnego KDC. Pamiętaj, aby skopiować plik przez szyfrowane połączenie, takie jak scp, lub na nośnik fizyczny.
sudo scp /etc/krb5kdc/.k5.EXAMPLE.COM [email chroniony]:~ sudo mv .k5.EXAMPLE.COM /etc/krb5kdc/
Ponownie wymień PRZYKŁAD.PL z twoim rzeczywistym królestwem.
5. Z powrotem na Dodatkowy KDC, (re)startuj tylko serwer ldap,
sudo systemctl uruchom ponownie slapd.service
6. Na koniec uruchom demona krb5-kdc:
sudo systemctl uruchom krb5-kdc.service
7. Sprawdź, czy dwa serwery ldap (i rozszerzenie Kerberos) są zsynchronizowane.
Teraz masz w sieci nadmiarowe KDC, a dzięki nadmiarowym serwerom LDAP powinno być możliwe kontynuowanie uwierzytelniania użytkowników, jeśli jeden serwer LDAP, jeden serwer Kerberos lub jeden serwer LDAP i jeden serwer Kerberos staną się niedostępne.