test

Guide du mécanisme d'authentification pour l'entreprise de Sun

Comment configurer un KDC esclave permutable

Cette procédure doit être effectuée sur le serveur KDC esclave disponible pour devenir maître.

  1. Utilisez des noms d'alias pour les serveurs KDC maître et esclave permutables durant l'installation.

    Lors de la définition des noms d'hôte pour les KDC, assurez-vous que chaque système possède un alias inclus dans DNS, et utilisez les noms d'alias en définissant les hôtes dans /etc/krb5/krb5.conf.

  2. Installez le logiciel KDC maître.

    L'installation du KDC maître fournit les fichiers binaires et autres qui seront requis au cours d'une permutation, y compris tous les fichiers requis par un serveur KDC esclave. Ne réinitialisez pas le système à la fin de l'installation.

  3. Suivez les étapes d'installation d'un KDC esclave.

    Avant toute permutation, ce serveur doit fonctionner comme tout autre KDC esclave dans le secteur. Voir "Comment configurer un KDC esclave" pour des directives. N'installez pas le logiciel esclave. Tous les fichiers requis sont installés lors de l'installation du logiciel maître.

  4. Déplacez les commandes du KDC maître.

    Pour empêcher que les commandes du KDC maître puissent être exécutées à partir de cet esclave, déplacez kprop, kadmind et kadmin.local vers un emplacement réservé.


    kdc4 # mv /usr/krb5/lib/kprop /usr/krb5/lib/kprop.save
kdc4 # mv /usr/krb5/lib/kadmind /usr/krb5/lib/kadmind.save
kdc4 # mv /usr/krb5/sbin/kadmin.local /usr/krb5/sbin/kadmin.local.save

  5. Désactivez le démarrage de kadmind dans /etc/init.d/kdc.master.

    Pour empêcher l'esclave de traiter les requêtes de modification de la base de données KDC, transformez en commentaire la ligne qui démarre kadmind dans le script :


    kdc4 # cat /etc/init.d/kdc.master

 .
 .

case "$1" in
'start')

        if [ -f $KDC_CONF_DIR/kdc.conf ]
then
#                $BINDIR/kadmind 
        fi
        ;;

  6. Transformez en commentaire la ligne kprop dans le fichier crontab root.

    Cette étape empêche l'esclave de propager sa copie de la base de données KDC.


    kdc4 # crontab -e
#ident  "@(#)root       1.19    98/07/06 SMI"   /* SVr4.0 1.1.3.1       */
#
# Le crontab root devrait être utilisé pour la collecte des données 
# comptables.
#
# La commande rtc est exécutée pour ajuster l'horloge en temps réel lors 
# d'un passage à l'heure avancée ou normale.
#
10 3 * * 0,4 /etc/cron.d/logchecker
10 3 * * 0   /usr/lib/newsyslog
15 3 * * 0 /usr/lib/fs/nfs/nfsfind
1 2 * * * [ -x /usr/sbin/rtc ] && /usr/sbin/rtc -c > /dev/null 2>&1
30 3 * * * [ -x /usr/lib/gss/gsscred_clean ] && /usr/lib/gss/gsscred_clean
#10 3 * * * /usr/krb5/lib/kprop_script kdc1.acme.sun.com #SUNWkr5ma