Intercambio de un KDC maestro y un KDC esclavo

Debe utilizar los procedimientos de esta sección para facilitar el intercambio de un KDC maestro con un KDC esclavo. Debe intercambiar el KDC maestro con un KDC esclavo sólo si el servidor KDC maestro falla por algún motivo o si el KDC maestro debe volver a instalarse (por ejemplo, porque se instaló un nuevo hardware).

Cómo configurar un KDC esclavo intercambiable

Realice este procedimiento en el servidor KDC esclavo que desea que esté disponible para convertirse en el KDC maestro. Este procedimiento supone que utiliza la propagación incremental.

Utilice nombres de alias para el KDC maestro y el KDC esclavo intercambiable durante la instalación del KDC.
Al definir los nombres de host para los KDC, asegúrese de que cada sistema tenga un alias incluido en DNS. Asimismo, utilice los nombres de alias al definir los hosts en el archivo /etc/krb5/krb5.conf.
Siga los pasos para instalar un KDC esclavo.
Antes de realizar un intercambio, este servidor debe funcionar como cualquier otro KDC esclavo en el dominio. Consulte Cómo configurar manualmente un KDC esclavo para obtener instrucciones.
Mueva los comandos del KDC maestro.
Para evitar que los comandos del KDC maestro se ejecuten desde este KDC esclavo, mueva los comandos kprop, kadmind y kadmin.local a un lugar reservado.
```
kdc4 # mv /usr/lib/krb5/kprop /usr/lib/krb5/kprop.save
kdc4 # mv /usr/lib/krb5/kadmind /usr/lib/krb5/kadmind.save
kdc4 # mv /usr/sbin/kadmin.local /usr/sbin/kadmin.local.save
```

Cómo intercambiar un KDC maestro y un KDC esclavo

En este procedimiento, el servidor KDC maestro que se está intercambiando se denomina kdc1. El KDC esclavo que se convertirá en el nuevo KDC maestro se denomina kdc4. Este procedimiento supone que utiliza la propagación incremental.

Antes de empezar

Este procedimiento requiere que el servidor KDC esclavo se haya configurado como un esclavo intercambiable. Para obtener más información, consulte Cómo configurar un KDC esclavo intercambiable).

En el nuevo KDC maestro, inicie kadmin.

kdc4 # /usr/sbin/kadmin -p kws/admin
Enter password: <Type kws/admin password>
kadmin:

Cree nuevos principales para el servicio kadmind.

El ejemplo siguiente muestra el primer comando addprinc en dos líneas, pero debe escribirse en una línea.

kadmin: addprinc -randkey -allow_tgs_req +password_changing_service -clearpolicy \ changepw/kdc4.example.com
Principal "changepw/kdc4.example.com@ENG.SUN.COM" created.
kadmin: addprinc -randkey -allow_tgs_req -clearpolicy kadmin/kdc4.example.com
Principal "kadmin/kdc4.example.com@EXAMPLE.COM" created.
kadmin:

Cree un archivo keytab.

kadmin: ktadd -k /etc/krb5/kadm5.keytab kadmin/kdc4.example.com
Entry for principal kadmin/kdc4.example.com with kvno 3, encryption type AES-256 CTS mode
with 96-bit SHA-1 HMAC added to keytab WRFILE:/etc/krb5/kadm5.keytab.
Entry for principal kadmin/kdc4.example.com with kvno 3, encryption type AES-128 CTS mode
with 96-bit SHA-1 HMAC added to keytab WRFILE:/etc/krb5/kadm5.keytab.
Entry for principal kadmin/kdc4.example.com with kvno 3, encryption type Triple DES cbc
mode with HMAC/sha1 added to keytab WRFILE:/etc/krb5/kadm5.keytab.
Entry for principal kadmin/kdc4.example.com with kvno 3, encryption type ArcFour
with HMAC/md5 added to keytab WRFILE:/etc/krb5/kadm5.keytab.
Entry for principal kadmin/kdc4.example.com with kvno 3, encryption type DES cbc mode
with RSA-MD5 added to keytab WRFILE:/etc/krb5/kadm5.keytab.
kadmin: ktadd -k /etc/krb5/kadm5.keytab changepw/kdc4.example.com
Entry for principal changepw/kdc4.example.com with kvno 3, encryption type AES-256 CTS mode
with 96-bit SHA-1 HMAC added to keytab WRFILE:/etc/krb5/kadm5.keytab.
Entry for principal changepw/kdc4.example.com with kvno 3, encryption type AES-128 CTS mode
with 96-bit SHA-1 HMAC added to keytab WRFILE:/etc/krb5/kadm5.keytab.
Entry for principal changepw/kdc4.example.com with kvno 3, encryption type Triple DES cbc
mode with HMAC/sha1 added to keytab WRFILE:/etc/krb5/kadm5.keytab.
Entry for principal changepw/kdc4.example.com with kvno 3, encryption type ArcFour
with HMAC/md5 added to keytab WRFILE:/etc/krb5/kadm5.keytab.
Entry for principal changepw/kdc4.example.com with kvno 3, encryption type DES cbc mode
with RSA-MD5 added to keytab WRFILE:/etc/krb5/kadm5.keytab.
kadmin: ktadd -k /etc/krb5/kadm5.keytab kadmin/changepw
Entry for principal kadmin/changepw with kvno 3, encryption type AES-256 CTS mode
with 96-bit SHA-1 HMAC added to keytab WRFILE:/etc/krb5/kadm5.keytab.
Entry for principal kadmin/changepw with kvno 3, encryption type AES-128 CTS mode
with 96-bit SHA-1 HMAC added to keytab WRFILE:/etc/krb5/kadm5.keytab.
Entry for principal kadmin/changepw with kvno 3, encryption type Triple DES cbc
mode with HMAC/sha1 added to keytab WRFILE:/etc/krb5/kadm5.keytab.
Entry for principal kadmin/changepw with kvno 3, encryption type ArcFour
with HMAC/md5 added to keytab WRFILE:/etc/krb5/kadm5.keytab.
Entry for principal kadmin/changepw with kvno 3, encryption type DES cbc mode
with RSA-MD5 added to keytab WRFILE:/etc/krb5/kadm5.keytab.
kadmin:

Salga de kadmin.
```
kadmin: quit
```

En el nuevo KDC maestro, fuerce la sincronización.
Los siguientes pasos fuerzan una actualización completa del KDC en el servidor esclavo.
```
kdc4 # svcadm disable network/security/krb5kdc
kdc4 # rm /var/krb5/principal.ulog
```
En el nuevo KDC maestro, verifique que la actualización se haya completado.
```
kdc4 # /usr/sbin/kproplog -h
```
En el nuevo KDC maestro, reinicie el servicio KDC.
```
kdc4 # svcadm enable -r network/security/krb5kdc
```
En el nuevo KDC maestro, borre el registro de actualización.
Estos pasos reinicializan el registro de actualización para el nuevo servidor KDC maestro.
```
kdc4 # svcadm disable network/security/krb5kdc
kdc4 # rm /var/krb5/principal.ulog
```
En el KDC maestro antiguo, termine los procesos kadmind y krb5kdc.
Al terminar el proceso kadmind, evita que se realicen cambios en la base de datos del KDC.
```
kdc1 # svcadm disable network/security/kadmin
kdc1 # svcadm disable network/security/krb5kdc
```

En el KDC maestro antiguo, especifique el tiempo de sondeo para solicitar propagaciones.

Elimine el comentario de la entrada sunw_dbprop_master_ulogsize en /etc/krb5/kdc.conf y agregue una entrada que defina sunw_dbprop_slave_poll. La entrada establece el tiempo de sondeo en 2 min.

kdc1 # cat /etc/krb5/kdc.conf
[kdcdefaults]
        kdc_ports = 88,750

[realms]
        EXAMPLE.COM= {
                profile = /etc/krb5/krb5.conf
                database_name = /var/krb5/principal
                admin_keytab = /etc/krb5/kadm5.keytab
                acl_file = /etc/krb5/kadm5.acl
                kadmind_port = 749
                max_life = 8h 0m 0s
                max_renewable_life = 7d 0h 0m 0s
                sunw_dbprop_enable = true
#               sunw_dbprop_master_ulogsize = 1000
                sunw_dbprop_slave_poll = 2m
        }

En el KDC maestro antiguo, mueva los comandos del KDC maestro y el archivo kadm5.acl.

Para evitar que los comandos del KDC maestro se ejecuten, mueva los comandos kprop, kadmind y kadmin.local a un lugar reservado.

kdc1 # mv /usr/lib/krb5/kprop /usr/lib/krb5/kprop.save
kdc1 # mv /usr/lib/krb5/kadmind /usr/lib/krb5/kadmind.save
kdc1 # mv /usr/sbin/kadmin.local /usr/sbin/kadmin.local.save
kdc1 # mv /etc/krb5/kadm5.acl /etc/krb5/kadm5.acl.save

En el servidor DNS, cambie los nombres de alias del KDC maestro.
Para cambiar los servidores, edite el archivo de zona example.com y cambie la entrada para masterkdc.
```
masterkdc IN CNAME kdc4
```
En el servidor DNS, reinicie el servidor de nombres de dominio de Internet.
Ejecute el siguiente comando para volver a cargar la nueva información de alias:
```
# svcadm refresh network/dns/server
```

En el nuevo KDC maestro, mueva los comandos del KDC maestro y el archivo kpropd.acl esclavo.

kdc4 # mv /usr/lib/krb5/kprop.save /usr/lib/krb5/kprop
kdc4 # mv /usr/lib/krb5/kadmind.save /usr/lib/krb5/kadmind
kdc4 # mv /usr/sbin/kadmin.local.save /usr/sbin/kadmin.local
kdc4 # mv /etc/krb5/kpropd.acl /etc/krb5/kpropd.acl.save

En el nuevo KDC maestro, cree el archivo de la lista de control de acceso de Kerberos (kadm5.acl).
Una vez que se rellena, el archivo /etc/krb5/kadm5.acl debe contener todos los nombres de principales que tienen permitido administrar el KDC. El archivo también debe mostrar todos los esclavos que realizan solicitudes de propagación incremental. Consulte la página del comando man kadm5.acl(4) para obtener más información.
```
kdc4 # cat /etc/krb5/kadm5.acl
kws/admin@EXAMPLE.COM *
kiprop/kdc1.example.com@EXAMPLE.COM p
```

En el nuevo KDC maestro, especifique el tamaño de registro de actualización en el archivo kdc.conf.

Elimine el comentario de la entrada sunw_dbprop_slave_poll y agregue una entrada que defina sunw_dbprop_master_ulogsize. La entrada establece el tamaño de registro en 1000 entradas.

kdc1 # cat /etc/krb5/kdc.conf
[kdcdefaults]
        kdc_ports = 88,750

[realms]
        EXAMPLE.COM= {
                profile = /etc/krb5/krb5.conf
                database_name = /var/krb5/principal
                admin_keytab = /etc/krb5/kadm5.keytab
                acl_file = /etc/krb5/kadm5.acl
                kadmind_port = 749
                max_life = 8h 0m 0s
                max_renewable_life = 7d 0h 0m 0s
                sunw_dbprop_enable = true
#               sunw_dbprop_slave_poll = 2m
                sunw_dbprop_master_ulogsize = 1000
        }

En el nuevo KDC maestro, agregue el principal kiprop al archivo keytab kadmind.

kdc4 # kadmin.local
kadmin.local: ktadd -k /etc/krb5/kadm5.keytab kiprop/kdc4.example.com
Entry for principal kiprop/kdc4.example.com with kvno 3, encryption type AES-256 CTS mode
          with 96-bit SHA-1 HMAC added to keytab WRFILE:/etc/krb5/kadm5.keytab.
Entry for principal kiprop/kdc4.example.com with kvno 3, encryption type AES-128 CTS mode
          with 96-bit SHA-1 HMAC added to keytab WRFILE:/etc/krb5/kadm5.keytab.
Entry for principal kiprop/kdc4.example.com with kvno 3, encryption type Triple DES cbc
          mode with HMAC/sha1 added to keytab WRFILE:/etc/krb5/kadm5.keytab.
Entry for principal kiprop/kdc4.example.com with kvno 3, encryption type ArcFour
          with HMAC/md5 added to keytab WRFILE:/etc/krb5/kadm5.keytab.
Entry for principal kiprop/kdc4.example.com with kvno 3, encryption type DES cbc mode
          with RSA-MD5 added to keytab WRFILE:/etc/krb5/kadm5.keytab.
kadmin.local: quit

En el nuevo KDC maestro, inicie kadmind y krb5kdc.

kdc4 # svcadm enable -r network/security/krb5kdc
kdc4 # svcadm enable -r network/security/kadmin

En el KDC maestro antiguo, agregue el principal de servicio kiprop.

La adición del principal kiprop al archivo krb5.keytab permite que el daemon kpropd se autentique para el servicio de propagación incremental.

kdc1 # /usr/sbin/kadmin -p kws/admin
Authenticating as pricipal kws/admin@EXAMPLE.COM with password.
Enter password: <Type kws/admin password>
kadmin: ktadd kiprop/kdc1.example.com
Entry for principal kiprop/kdc1.example.com with kvno 3, encryption type AES-256 CTS mode
          with 96-bit SHA-1 HMAC added to keytab WRFILE:/etc/krb5/krb5.keytab.
Entry for principal kiprop/kdc1.example.com with kvno 3, encryption type AES-128 CTS mode
          with 96-bit SHA-1 HMAC added to keytab WRFILE:/etc/krb5/krb5.keytab.
Entry for principal kiprop/kdc1.example.com with kvno 3, encryption type Triple DES cbc
          mode with HMAC/sha1 added to keytab WRFILE:/etc/krb5/krb5.keytab.
Entry for principal kiprop/kdc1.example.com with kvno 3, encryption type ArcFour
          with HMAC/md5 added to keytab WRFILE:/etc/krb5/krb5.keytab.
Entry for principal kiprop/kdc1.example.com with kvno 3, encryption type DES cbc mode
          with RSA-MD5 added to keytab WRFILE:/etc/krb5/krb5.keytab.
kadmin: quit

En el KDC maestro antiguo, agregue una entrada para cada KDC que aparece en krb5.conf al archivo de configuración de propagación, kpropd.acl.

kdc1 # cat /etc/krb5/kpropd.acl
host/kdc1.example.com@EXAMPLE.COM
host/kdc2.example.com@EXAMPLE.COM
host/kdc3.example.com@EXAMPLE.COM
host/kdc4.example.com@EXAMPLE.COM

En el KDC maestro antiguo, inicie kpropd y krb5kdc.
Cuando el daemon krb5kdc se inicia, kpropd también se inicia si el sistema está configurado como esclavo.
```
kdc1 # svcadm enable network/security/krb5kdc
```

Omitir V�nculos de navegaci�n
Salir de la Vista de impresi�n
	Guía de administración del sistema: servicios de seguridad