系统管理指南：安全性服务

如何重新配置主 KDC 以使用增量传播

此过程中的步骤可用于重新配置现有的主 KDC，以使用增量传播。在此过程中，将使用以下配置参数：

领域名称 = EXAMPLE.COM
DNS 域名 = example.com
主 KDC = kdc1.example.com
从 KDC = kdc2.example.com
admin 主体 = kws/admin

向 kdc.conf 中添加项。

需要启用增量传播，并选择主 KDC 将在日志中存储的更新数。有关更多信息，请参见 kdc.conf(4) 手册页。

kdc1 # cat /etc/krb5/kdc.conf

[kdcdefaults]

        kdc_ports = 88,750



[realms]

        EXAMPLE.COM= {

                profile = /etc/krb5/krb5.conf

                database_name = /var/krb5/principal

                admin_keytab = /etc/krb5/kadm5.keytab

                acl_file = /etc/krb5/kadm5.acl

                kadmind_port = 749

                max_life = 8h 0m 0s

                max_renewable_life = 7d 0h 0m 0s

                sunw_dbprop_enable = true

                sunw_dbprop_master_ulogsize = 1000

        }

创建 kiprop 主体。

kiprop 主体用于验证主 KDC 服务器和授权来自主 KDC 的更新。

kdc1 # /usr/sbin/kadmin -p kws/admin

Enter password: <Type kws/admin password>

kadmin: addprinc -randkey kiprop/kdc1.example.com

Principal "kiprop/kdc1.example.com@EXAMPLE.COM" created.

kadmin: addprinc -randkey kiprop/kdc2.example.com

Principal "kiprop/kdc2.example.com@EXAMPLE.COM" created.

kadmin:

将 kiprop 主体添加到 kadmind 密钥表文件中

通过将 kiprop 主体添加到 kadm5.keytab 文件中，kadmind 命令可以在启动时对其自身进行验证。

kadmin: ktadd -k /etc/krb5/kadm5.keytab kiprop/kdc1.example.com

Entry for principal kiprop/kdc1.example.com with kvno 3, encryption type AES-128 CTS mode

          with 96-bit SHA-1 HMAC added to keytab WRFILE:/etc/krb5/kadm5.keytab.

Entry for principal kiprop/kdc1.example.com with kvno 3, encryption type Triple DES cbc

          mode with HMAC/sha1 added to keytab WRFILE:/etc/krb5/kadm5.keytab.

Entry for principal kiprop/kdc1.example.com with kvno 3, encryption type ARCFOUR

          with HMAC/md5 added to keytab WRFILE:/etc/krb5/kadm5.keytab.

Entry for principal kiprop/kdc1.example.com with kvno 3, encryption type DES cbc mode

          with RSA-MD5 added to keytab WRFILE:/etc/krb5/kadm5.keytab.

kadmin: quit

（可选的）在主 KDC 上，将 kiprop 项添加到 kpropd.acl 中

通过此项，主 KDC 可以接收对 kdc2 服务器的增量传播请求。

kdc1 # cat /etc/krb5/kpropd.acl

host/kdc1.example.com@EXAMPLE.COM

host/kdc2.example.com@EXAMPLE.COM

*/admin@EXAMPLE.COM *

kiprop/kdc2.example.com@EXAMPLE.COM p

注释掉 root crontab 文件中的 kprop 行。

此步骤禁止从 KDC 传播其 KDC 数据库副本。

kdc1 # crontab -e

#ident  "@(#)root       1.20    01/11/06 SMI"

#

# The root crontab should be used to perform accounting data collection.

#

# The rtc command is run to adjust the real time clock if and when

# daylight savings time changes.

#

10 3 * * * /usr/sbin/logadm

15 3 * * 0 /usr/lib/fs/nfs/nfsfind

1 2 * * * [ -x /usr/sbin/rtc ] && /usr/sbin/rtc -c > /dev/null 2>&1

30 3 * * * [ -x /usr/lib/gss/gsscred_clean ] && /usr/lib/gss/gsscred_clean

#10 3 * * * /usr/lib/krb5kprop_script kdc2.example.sun.com #SUNWkr5ma

重新启动 kadmind。

kdc1 # svcadm restart network/security/kadmin

重新配置所有使用增量传播的从 KDC 服务器。