Comment configurer un KDC esclave

Dans cette procédure, un nouveau KDC esclave appelé kdc3 est configuré. Afin de fournir un exemple complet, on suppose que vous n'avez pas effectué la procédure de préconfiguration en installant le logiciel ou n'avez pas défini kdc3 comme esclave en exécutant la procédure de préconfiguration. Si vous avez effectué la procédure et identifié kdc3 comme esclave, plusieurs des fichiers inclus dans cette procédure n'auront pas besoin d'être édités, mais vous devriez vérifier le contenu des fichiers.

Cette procédure utilise les paramètres de configuration suivants :

• nom du secteur = ACME.COM

• nom du domaine DNS = acme.com

• KDC maître = kdc1.acme.com

• kdc esclaves = kdc2.acme.com et kdc3.acme.com

• principal admin = kws/admin

• URL d'aide en ligne = http://denver:8888/ab2/coll.384.1/SEAM/@AB2PageView/6956

  ---

  Remarque :

  Modifier l'URL pour qu'il désigne la section "Outil d'administration SEAM", tel que décrit dans Installation de SEAM et Notes de version.

  ---

1. Conditions préalables à la configuration d'un KDC esclave.

   Cette procédure exige que le KDC maître soit configuré et que le logiciel du KDC esclave SEAM soit installé sur kdc3. Voir "Permutation de KDC maître et esclave" pour des directives spéciales si cet esclave est permutable.

2. Sur le KDC maître : Adoptez l'identité de superutilisateur.

3. Sur le KDC maître : Démarrez kadmin.

   Vous devez vous connecter avec un des noms de principal admin créés lors de la configuration du KDC maître.

   kdc1 # /usr/krb5/sbin/kadmin -p kws/admin Entrer le mot de passe : <Entrez le mot de passe kws/admin> kadmin:

   1. Sur le KDC maître : Ajoutez les principaux de l'hôte esclave à la base de données, si cela n'est pas déjà fait, avec kadmin.

      Pour que l'esclave fonctionne, il doit avoir un principal d'hôte.

      kadmin: addprinc -randkey host/kdc3.acme.com Principal "host/kdc3@ACME.COM" créé. kadmin:

   2. Facultatif : Sur le KDC maître, créez le principal racine du KDC esclave avec kadmin.

      Ce principal n'est requis que si l'esclave effectue un montage NFS d'un système de fichiers authentifié.

      kadmin: addprinc kdc3.acme.com Entrer le mot de passe du principal root/kdc3.acme.com@ACME.COM: <tapez le mot de passe> Entrer à nouveau le mot de passe du principal root/kdc3.acme.com@ACME.COM: <tapez-le à nouveau> Principal "root/kdc3.acme.com@ACME.COM" créé. kadmin:

   3. Quittez kadmin

      kadmin: quit

4. Sur le KDC maître : Éditez le fichier de configuration Kerberos (krb5.conf).

   Vous devez ajouter une entrée pour chaque esclave. Consultez la page de manuel krb5.conf(4) pour une description complète de ce fichier. Si vous avez défini kdc3 comme serveur esclave en effectuant la procédure de préconfiguration, vérifiez le contenu du fichier plutôt que de l'éditer.

   kdc1 # cat /etc/krb5/krb5.conf [libdefaults] default_realm = ACME.COM [realms] ACME.COM = { kdc = kdc1.acme.com kdc = kdc2.acme.com kdc = kdc3.acme.com admin_server = kdc1.acme.com } [domain_realm] .acme.com = ACME.COM # # si le nom du domaine et le nom du secteur sont équivalents, # cette entrée n'est pas nécessaire # [logging] default = FILE:/var/krb5/kdc.log kdc = FILE:/var/krb5/kdc.log [appdefaults] gkadmin = { help_url = http://denver:8888/ab2/coll.384.1/SEAM/@AB2PageView/6956

5. Sur le KDC maître : Ajoutez une entrée pour chaque KDC esclave dans le fichier de configuration de propagation de la base de données ( kpropd.acl).

   Pour une description complète de ce fichier, consultez la page de manuel kprop(1M). Si vous avez défini kdc3 comme serveur esclave en effectuant la procédure de préconfiguration, vérifiez le contenu du fichier plutôt que de l'éditer.

   kdc1 # cat /etc/krb5/kpropd.acl host/kdc1.acme.com@ACME.COM host/kdc2.acme.com@ACME.COM host/kdc3.acme.com@ACME.COM

6. Sur tous les esclaves : Copiez les fichiers d'administration KDC du serveur KDC maître.

   Cette étape doit être effectuée sur tous les KDC esclaves, puisque le serveur KDC maître a actualisé des informations dont chaque serveur KDC a besoin. Si vous avez défini kdc3 comme serveur esclave en effectuant la procédure de préconfiguration, vérifiez le contenu des fichiers plutôt que de les copier. Vous pouvez utiliser ftp ou un mécanisme de transfert similaire pour obtenir des copies des fichiers suivants du maître :

   • /etc/krb5/krb5.conf

   • /etc/krb5/kdc.conf

   • /etc/krb5/kpropd.acl

7. Sur le nouvel esclave : Ajoutez le principal de l'hôte de l'esclave à la table de clés de l'esclave avec kadmin.

   Vous devez vous connecter avec un des noms de principal admin créés lors de la configuration du KDC maître. Cette entrée permettra à kprop et à d'autres applications compatibles Kerberos de fonctionner.

   kdc3 # /usr/krb5/sbin/kadmin -p kws/admin Entrer le mot de passe : <Entrez le mot de passe kws/admin> kadmin: ktadd host/kdc3.acme.com kadmin: Entrée du principal kdc3.acme.com avec numéro de version de clé 3 et type de chiffrement DES-CBC-CRC ajoutée à la table de clés WRFILE:/etc/krb5/krb5.keytab kadmin: quit

8. Sur le KDC maître : Ajoutez les noms des KDC esclaves à la tâche cron, laquelle exécute automatiquement les sauvegardes, en exécutant crontab -e.

   Ajoutez le nom de chaque serveur KDC esclave à la fin de la ligne kprop_script. Si vous avez défini kdc3 comme serveur esclave en effectuant la procédure de préconfiguration, vérifiez le contenu du fichier plutôt que de l'éditer.

   10 3 * * * /usr/krb5/lib/kprop_script kdc2.acme.com kdc3.acme.com

   Vous pouvez aussi changer l'heure des sauvegardes. Cette configuration lance le processus de sauvegarde chaque jour à 3:10 AM.

9. Sur le KDC maître : Faites une copie de sauvegarde de la base de données et propagez-la avec kprop_script.

   Si une copie de sauvegarde de la base de données est déjà disponible, il n'est pas nécessaire d'effectuer une nouvelle sauvegarde. Voir "Comment propager manuellement la base de données Kerberos vers les KDC esclaves" pour plus de détails.

   kdc1 # /usr/krb5/lib/kprop_script kdc3.acme.com Propagation de la base de données à kdc3.acme.com: REUSSIE

10. Sur le nouvel esclave : Créez un fichier de réserve avec kdb5_util.

    kdc3 # réserve /usr/krb5/sbin/kdb5_util kdb5_util: Impossible de trouver/lire la clé principale enregistrée au cours de la lecture de la clé maîtresse kdb5_util: Avertissement : procédure amorcée sans clé maîtresse Entrez la clé maîtresse de la base de données KDC : <tapez la clé>

11. Sur le nouvel esclave : Démarrez le démon KDC (krb5kdc).

    kdc3 # /etc/init.d/kdc start

12. Facultatif : Sur le nouvel esclave, synchronisez l'horloge du KDC maître au moyen de NTP ou d'un autre mécanisme de synchronisation d'horloge.

    Il n'est pas nécessaire d'installer et d'utiliser NTP, mais chaque horloge doit être réglée à l'heure par défaut définie dans la section libdefaults du fichier krb5.conf pour que l'authentification réussisse. Voir "Synchronisation des horloges des KDC et des clients SEAM" pour de plus amples renseignements sur NTP.