test

Sun Enterprise Authentication Mechanism 1.0.1 ガイド

切り替え可能なスレーブ KDC を構成するには

この手順は、マスター KDC としても利用したいスレーブ KDC サーバー上で実行します。

  1. インストール時、マスター KDC サーバーと切り替え可能なスレーブ KDC サーバーには別名を使用します。

    KDC のホスト名を定義するときは各システムの別名が DNS に含まれていることを確認して、/etc/krb5/krb5.conf にホストを定義するときは別名を使用します。

  2. マスター KDC と切り替え可能なスレーブ KDC の両方で KDC 起動スクリプトを選択して、ホスト名を無効にします。

    マスター KDC サーバーと切り替え可能なスレーブ KDC サーバーに別名を使用するのは、現在使用しているノード名が /etc/krb5/krb5.conf に存在していることを KDC サーバーに障害が発生する前に確認するためです。別名を使用して、切り替えをスムーズに行うには、以下に示すように /etc/init.d/kdc の中の 2 行をコメントにする必要があります。


    if [ -f $KDC_CONF_DIR/kdc.conf ]
        then
 #               node=`uname -n`
 #               if grep -i "kdc.*=.*$node" /etc/krb5/krb5.conf > /dev/null 2>&1 ;
                then
                        $BINDIR/krb5kdc 
                fi
        fi
        ;;

  3. マスター KDC ソフトウェアをインストールします。

    マスター KDC ソフトウェアをインストールすると、切り替え中に必要なバイナリなどのファイルが提供されます。これらのファイルには、スレーブ KDC サーバーが必要とするファイルもすべて含まれています。インストールが完了したときには、システムをリブートしないでください。

  4. スレーブ KDC を構成します。

    切り替え前に、当該サーバーはレルム内の他のスレーブ KDC とまったく同じように機能している必要があります。この方法については、「スレーブ KDC を構成するには」を参照してください。スレーブソフトウェアはインストールしないでください。必要なファイルはすべて、マスターソフトウェアをインストールするときにインストールされます。

  5. マスター KDC コマンドを移動します。

    当該スレーブからマスター KDC コマンドを実行できないようにするには、kpropkadmind、および kadmin.local を別の場所に移動します。


    kdc4 # mv /usr/lib/kprop /usr/lib/kprop.save
kdc4 # mv /usr/krb5/lib/kadmind /usr/krb5/lib/kadmind.save
kdc4 # mv /usr/krb5/sbin/kadmin.local /usr/krb5/sbin/kadmin.local.save

  6. /etc/init.d/kdc.master 内で kadmind の起動を無効にします。

    当該スレーブが要求を処理できないようにするには、KDC データベースを変更して、スクリプト内で kadmind を起動する行をコメント化します。


    kdc4 # cat /etc/init.d/kdc.master
 .
 .
 
case "$1" in
'start')
 
        if [ -f $KDC_CONF_DIR/kdc.conf ]
        then
#                $BINDIR/kadmind 
        fi
        ;;

  7. rootcrontab ファイル内で kprop 行をコメント化します。

    この手順を行うことにより、当該スレーブが KDC データベースのコピーを伝達できないようになります。


    kdc4 # crontab -e
#ident  "@(#)root       1.19    98/07/06 SMI"   /* SVr4.0 1.1.3.1       */
#
# root の crontab はアカウントデータを収集するために使用される。
#
# rtc コマンドは、夏時間が変更されたときに、実時間クロックを調整
# するために実行される。
#
10 3 * * 0,4 /etc/cron.d/logchecker
10 3 * * 0   /usr/lib/newsyslog
15 3 * * 0 /usr/lib/fs/nfs/nfsfind
1 2 * * * [ -x /usr/sbin/rtc ] && /usr/sbin/rtc -c > /dev/null 2>&1
30 3 * * * [ -x /usr/lib/gss/gsscred_clean ] && /usr/lib/gss/gsscred_clean
#10 3 * * * /usr/krb5/lib/kprop_script kdc1.acme.sun.com #SUNWkr5ma