KDC は特定のポートを使用し、チケットの増大する負荷を処理するために追加のサーバーを必要とし、またサーバーの同期を維持するために伝播の技法を必要とします。さらに、暗号化タイプが集中管理されます。KDC の初期構成には、いくつかのオプションがあります。
デフォルトでは、ポート 88 とポート 750 を KDC が使用し、ポート 749 を KDC 管理デーモンが使用します。別のポート番号を使用できます。ただし、ポート番号を変更する場合は、すべてのクライアント上で /etc/services および /etc/krb5/krb5.conf ファイルを変更する必要があります。さらに、各 KDC 上で /etc/krb5/kdc.conf ファイルを更新する必要があります。
スレーブ KDC は、マスター KDC と同様に、クライアントの資格を生成します。マスターが使用できなくなると、スレーブ KDC がバックアップとして使用されます。レルムあたり少なくとも 1 つのスレーブ KDC を作成するように計画してください。
次の要因によっては、追加のスレーブ KDC が必要になることがあります。
レルム内の物理セグメント数。通常は、レルム内のほかのセグメントが動作しない場合でも、少なくとも各セグメントで機能するように、ネットワークを設定する必要があります。この設定を実現するには、KDC をすべてのセグメントからアクセス可能にする必要があります。この場合、KDC はマスターまたはスレーブのどちらでも構いません。
レルム内のクライアント数。スレーブ KDC サーバーを追加すると、現在のサーバーの負荷を軽減することができます。
追加するスレーブ KDC が多くなりすぎないようにしてください。KDC データベースを各サーバーに伝播する必要があるため、インストール済みの KDC サーバーが増えると、レルム全体にわたってデータを更新するためにかかる時間も長くなる場合があります。また、各スレーブには KDC データベースのコピーが保存されるため、スレーブが多くなるほど、セキュリティー侵害の危険性が高くなります。
1 つ以上のスレーブ KDC をマスター KDC とスワップされるように構成します。少なくとも 1 つのスレーブ KDC をこのように構成する利点は、何らかの理由でマスター KDC に障害が発生した場合に、マスター KDC になるように事前に構成されたシステムが存在することです。手順については、マスター KDC とスレーブ KDC の入れ替えを参照してください。
マスター KDC に格納されているデータベースは、定期的にスレーブ KDC に伝播する必要があります。データベースの伝播は増分的に構成することができます。増分プロセスでは、データベース全体ではなく、更新された情報のみがスレーブ KDC に伝播されます。データベースの伝播については、Kerberos データベースの管理を参照してください。
増分伝播を使用しない場合、最初に解決すべき問題の 1 つは、スレーブ KDC の更新頻度です。すべてのクライアントから使用可能な最新の情報を確保する必要性を、更新を完了するために必要な時間と比較検討しなければならなくなります。
1 つのレルムに多くの KDC が配置されている場合は、1 つまたは複数のスレーブからもデータを伝播すると、伝播プロセスを並行して行うことができます。この方法によって、更新にかかる時間は短縮されますが、同時に管理の複雑さが増します。詳細は、Kerberos のための並列伝播の設定を参照してください。
KDC の構成には、いくつかの方法があります。もっとも簡単な方法は、kdcmgr ユーティリティーを使用して KDC を自動的に、または対話形式で構成する方法です。自動的な方法では、コマンド行オプションを使用して構成パラメータを定義する必要があります。この方法はスクリプトに特に適しています。対話的な方法では、必要なすべての情報を入力するよう促されます。このコマンドを使用するための手順へのポインタについては、KDC サーバーの構成を参照してください。
また、LDAP を使用して Kerberos のデータベースファイルを管理することもできます。手順については、LDAP ディレクトリサーバー上での KDC サーバーの構成を参照してください。LDAP によって、Kerberos データベースとその既存のディレクトリサーバーの設定の間で調整が必要なサイトでの管理が簡略化されます。