Configurare un KDC slave

In questa procedura viene configurato un nuovo KDC slave di nome kdc3. Nell'esempio si ipotizza che non sia stata usata la procedura di preconfigurazione durante l'installazione del software o che, in tale procedura, kdc3 non sia stato definito come slave. Se la procedura è stata eseguita e kdc3 è stato identificato come slave, non sarà necessario modificare molti dei file qui indicati; è consigliabile comunque esaminarne il contenuto.

In questa procedura vengono usati i seguenti parametri di configurazione:

• nome del settore = SPA.IT

• nome del dominio DNS = spa.it

• kdc master = kdc1.spa.it

• kdc slave = kdc2.spa.it e kdc3.spa.it

• nome principale di amministrazione = kws/admin

• URL della guida in linea = http://milano:8888/ab2/coll.384.1/SEAM/@AB2PageView/6956

  ---

  Nota -

  Adattare l'URL in modo che punti alla sezione "Amministrazione SEAM", come descritto in Note sul prodotto e sull'installazione di SEAM.

  ---

1. Prerequisiti per la configurazione di un KDC slave.

   Questa procedura richiede che il KDC master sia stato configurato e che il software del KDC slave di SEAM sia stato installato su kdc3. Per istruzioni specifiche sulla configurazione del server slave come sistema di backup per la sostituzione del master in caso di guasto, vedere "Sostituzione di un KDC master con uno slave".

2. Sul KDC master: Diventare superutente.

3. Sul KDC master: Avviare kadmin.

   È necessario eseguire il login con uno dei nomi principali admin creati durante la configurazione del KDC master.

   kdc1 # /usr/krb5/sbin/kadmin -p kws/admin Inserire la password: <Inserire la password per kws/admin> kadmin:

   1. Sul KDC master: Aggiungere i nomi principali degli host slave al database usando kadmin.

      Perché il sistema slave possa funzionare, è necessario che disponga di un nome principale per l'host.

      kadmin: addprinc -randkey host/kdc3.spa.it Nome principale "host/kdc3@SPA.IT" creato. kadmin:

   2. Opzionale: Sul KDC master, creare il nome principale root per il KDC slave usando kadmin.

      Questo nome principale è necessario solo se il sistema slave attiverà via NFS un file system autenticato.

      kadmin: addprinc root/kdc3.spa.it Inserire la password per il nome principale root/kdc3.spa.it@SPA.IT: <inserire la password> Reinserire la password per il nome principale root/kdc3.spa.it@SPA.IT: <reinserire la password> Nome principale "root/kdc3.spa.it@SPA.IT" creato. kadmin:

   3. Uscire da kadmin

      kadmin: quit

4. Sul KDC master: Aprire con un editor il file di configurazione di Kerberos (krb5.conf).

   È necessario aggiungere una voce per ogni slave. Per una descrizione completa di questo file, vedere la pagina man krb5.conf(4). Se kdc3 è stato definito come server slave durante la procedura di preconfigurazione, sarà sufficiente verificare il contenuto del file.

   kdc1 # cat /etc/krb5/krb5.conf [libdefaults] default_realm = SPA.IT [realms] SPA.IT = { kdc = kdc1.spa.it kdc = kdc2.spa.it kdc = kdc3.spa.it admin_server = kdc1.spa.it } [domain_realm] .spa.it = SPA.IT # # if the domain name and realm name are equivalent, # this entry is not needed # [logging] default = FILE:/var/krb5/kdc.log kdc = FILE:/var/krb5/kdc.log [appdefaults] gkadmin = { help_url = http://milano:8888/ab2/coll.384.1/SEAM/@AB2PageView/6956

5. Sul KDC master: Aggiungere una voce per ogni KDC slave nel file di configurazione usato per la propagazione del database (kpropd.acl).

   Per una descrizione completa di questo file, vedere la pagina man kprop(1M). Se kdc3 è stato definito come server slave durante la procedura di preconfigurazione, sarà sufficiente verificare il contenuto del file.

   kdc1 # cat /etc/krb5/kpropd.acl host/kdc1.spa.it@SPA.IT host/kdc2.spa.it@SPA.IT host/kdc3.spa.it@SPA.IT

6. Su tutti i server slave: Copiare i file di amministrazione di KDC dal KDC master.

   Questa operazione deve essere eseguita su tutti i KDC slave, poiché il KDC master contiene le informazioni aggiornate necessarie per tutti i server KDC. Se kdc3 è stato definito come server slave durante la procedura di preconfigurazione, sarà sufficiente verificare il contenuto dei file. Si potrà usare ftp o un meccanismo di trasferimento analogo per trasferire una copia dei seguenti file dal master:

   • /etc/krb5/krb5.conf

   • /etc/krb5/kdc.conf

   • /etc/krb5/kpropd.acl

7. Sul nuovo slave: Aggiungere il nome principale dell'host slave alla tabella di chiavi dello slave usando kadmin.

   È necessario eseguire il login con uno dei nomi principali admin creati durante la configurazione del KDC master. Questa voce permetterà il funzionamento di kprop e di altre applicazioni basate su Kerberos.

   kdc3 # /usr/krb5/sbin/kadmin -p kws/admin Inserire la password: <Inserire la password per kws/admin> kadmin: ktadd host/kdc3.spa.it kadmin: Voce per nome principale host/kdc3.spa.it con kvno 3, tipo di cifratura DES-CBC-CRC aggiunta alla tabella di chiavi WRFILE:/etc/krb5/krb5.keytab kadmin: quit

8. Sul KDC master: Aggiungere i nomi dei KDC slave al lavoro cron, che esegue automaticamente i backup, con il comando crontab -e.

   Aggiungere il nome di ogni KDC slave alla fine della riga kprop_script. Se kdc3 è stato definito come server slave durante la procedura di preconfigurazione, sarà sufficiente verificare il contenuto del file.

   10 3 * * * /usr/krb5/lib/kprop_script kdc2.spa.it kdc3.spa.it

   Eventualmente, si potrà cambiare l'ora impostata per i backup. Nella configurazione dell'esempio, il processo di backup ha inizio ogni giorno alle 3:10 AM.

9. Sul KDC master: Eseguire un backup del database e propagarlo usando kprop_script.

   Se è già disponibile una copia di backup del database, non sarà necessario crearne una nuova. Per maggiori informazioni, vedere "Propagare manualmente il database di Kerberos ai KDC slave".

   kdc1 # /usr/krb5/lib/kprop_script kdc3.spa.it Propagazione del database su kdc3.spa.it: OPERAZIONE ESEGUITA

10. Sul nuovo slave: Creare un file segreto usando kdb5_util.

    kdc3 # /usr/krb5/sbin/kdb5_util stash kdb5_util: Impossibile trovare/leggere la chiave master memorizzata durante la lettura della chiave master dalla tastiera kdb5_util: Attenzione: l'operazione proseguirà senza chiave master Inserire la chiave master per il database del KDC: <inserire la chiave>

11. Sul nuovo slave: Avviare il daemon KDC (krb5kdc).

    kdc3 # /etc/init.d/kdc start

12. Opzionale: Sul nuovo slave, sincronizzare l'orologio del KDC master usando NTP o un altro meccanismo di sincronizzazione dell'ora.

    Non è necessario installare e usare NTP, ma è importante, perché l'autenticazione abbia successo, che tutti gli orologi rientrino nell'arco di tempo predefinito specificato nella sezione libdefaults del file krb5.conf. Per maggiori informazioni su NTP, vedere "Sincronizzazione degli orologi tra i KDC e i client SEAM".