Kerberos データベースのバックアップと伝達

Kerberos データベースをマスター KDC からスレーブ KDC に伝達することは、最も重要な構成作業の 1 つです。十分な頻度で伝達しなければ、マスター KDC とスレーブ KDC が同期しません。したがって、マスター KDC がダウンした場合、スレーブ KDC は最新のデータベース情報を持てません。また、負荷均衡のためにスレーブ KDC をマスターとしても構成している場合、そのスレーブをマスター KDC として使用しているクライアントも最新の情報を持てません。したがって、Kerberos データベースを変更する頻度に基づいて、十分な頻度で伝達を行うことが重要です。

マスター KDC を構成するときは、Kerberos データベースを /var/krb5/slave_datatrans ダンプファイルに自動的にバックアップし、スレーブ KDC に伝達するように、cron ジョブ内の kprop_script を設定します。しかし、他のファイルと同様に、Kerberos データベースも壊れる可能性があります。あるスレーブ KDC で Kerberos データベースが壊れても、次回のデータベースの自動伝達で新しいコピーがインストールされるため、壊れたことに気が付くことはありません。しかし、マスター KDC 上の Kerberos データベースが壊れた場合、壊れたデータベースが次回の自動伝達ですべてのスレーブに伝達されます。さらに、マスター KDC 上にある以前の壊れていないバックアップファイルが壊れたバックアップで上書きされます。

この場合には「安全な」バックアップコピーは存在しないため、定期的に slave_datatrans ダンプファイルを別の場所にコピーするか、kdb5_util の dump コマンドで別のバックアップコピーを作成するように cron ジョブを設定すべきです。そうすれば、データベースが壊れた場合でも、kdb5_util の load コマンドでマスター KDC 上の最新のバックアップを復元できます。

もう一つ注意しておくことは、データベースダンプファイルにはプリンシパル鍵が含まれているため、認証されていないユーザーがこのファイルにアクセスすることを防ぐ必要があります (デフォルトでは、データベースダンプファイルには root の読み取り権と書き込み権だけがあります)。また、kprop コマンドは転送するデータを暗号化するため、データベースダンプファイルを伝達するときには、kprop コマンドだけを使用することも重要です。また、kprop はスレーブ KDC だけにデータを伝達します。したがって、認証されていないホストにデータベースダンプを誤って送信することが最小限に抑えられます。

Kerberos データベースが伝達後に更新され、その後、次回の伝達前に壊れた場合、スレーブは更新されたデータを持ちません。つまり、更新されたデータは失われます。このような場合があるため、データベースで行なった更新が重要な場合は、通常のスケジュールされた伝達の前に手動でデータベースを伝達し、更新されたデータが失われないようにしてください。

kpropd.acl ファイル

KDC 上の kpropd.acll ファイルは、ホストプリンシパル名のリスト (1 行ごとに 1 つ) を提供します。これには、KDC が伝達機構を通じて更新されたデータベースを受信するシステムを指定します。マスター KDC がすべてのスレーブ KDC に伝達する場合、各スレーブ上の kpropd.acl ファイルにはマスターのプリンシパル名だけが入っている必要があります。

しかし、このマニュアルで説明する SEAM のインストール手順とそれに続く構成手順では、同じ kpropd.acl ファイルをマスター KDC とスレーブ KDC に追加するように説明しています。このファイルには、すべての KDC ホストプリンシパル名が入っています。この構成によって、KDC の伝達が一時的に利用不可能になった場合でも、任意の KDC から伝達できます。さらに、同じコピーをすべての KDC で保持することで、保守が簡単になります。

kprop_script コマンド

kprop_script コマンドは kprop コマンドを使用して Kerberos データベースを他の KDC に伝達します (kprop_script をスレーブ KDC 上で実行する場合、kprop_script はそのスレーブの Kerberos データベースのコピーを他の KDC に伝達します)。kprop_script には引数として、伝達する KDC を示すホスト名のリスト (スペースで区切る) を使用できます。

kprop_script を実行すると、kprop_script は Kerberos データベースのバックアップを /var/krb5/slave_datatrans ファイルに作成し、そのファイルを指定された KDC にコピーします。Kerberos データベースは伝達が終了するまでロックされます。