Så här konfigurerar du en slav-KDC

I den här proceduren konfigureras en ny slav-KDC med namnet kdc3. För att göra exemplet fullständigt antar vi att du inte använde förkonfigureringsproceduren när du installerade programvaran eller att du inte definierade kdc3 som en slav när du körde förkonfigureringsproceduren. Om du använde förkonfigureringsproceduren och identifierade kdc3 som en slav, behöver många av filerna i den här proceduren inte redigeras. Du bör dock kontrollera filernas innehåll.

I den här proceduren används följande konfigureringsparametrar:

• användarkategori = ACME.COM

• DNS-domän = acme.com

• huvud-kdc = kdc1.acme.com

• slav-kdc = kdc2.acme.com och kdc3.acme.com

• principal för admin = kws/admin

• webbadress för onlinehjälp = http://denver:8888/ab2/coll.384.1/SEAM/@AB2PageView/6956

  ---

  Obs!

  Ändra webbadressen så att den pekar på avsnittet "Administrationsverktyget för SEAM" som det beskrivs i Installations- och tilläggsinformation för SEAM.

  ---

1. Förutsättningar för konfigurering av en slav-KDC.

   Den här proceduren förutsätter att huvud-KDC:n har konfigurerats och att slav-KDC-programvaran för SEAM har installerats på kdc3. Se även instruktionerna i "Växla huvud- och slav-KDC:er" om den här slaven ska vara växlingsbar.

2. På huvud-KDC:n: Bli superanvändare.

3. På huvud-KDC:n: Starta kadmin.

   Du måste logga in med ett av de principalnamn för admin som du skapade när du konfigurerade huvud-KDC:n.

   kdc1 # /usr/krb5/sbin/kadmin -p kws/admin Ange lösenord: <Skriv lösenord för kws/admin> kadmin:

   1. På huvud-KDC:n: Lägg till värdprincipaler för slavar till databasen med kadmin.local om det inte gjorts tidigare.

      För att slaven ska fungera måste den ha en värdprincipal.

      kadmin: addprinc -randkey host/kdc3.acme.com Principalen "host/kdc3@ACME.COM" har skapats. kadmin:

   2. Valfritt: Skapa slav-KDC:ns principal för root på huvud-KDC:n med kadmin.

      Den här principalen behövs endast om slaven kommer att NFS-montera ett verifierat filsystem.

      kadmin: addprinc root/kdc3.acme.com Ange lösenord för principalen root/kdc3.acme.com@ACME.COM: <skriv lösenordet> Ange lösenord för principalen root/kdc3.acme.com@ACME.COM på nytt: <skriv det igen> Principalen "root/kdc3.acme.com@ACME.COM" har skapats. kadmin:

   3. Avsluta kadmin

      kadmin: avsluta

4. På huvud-KDC:n: Redigera konfigurationsfilen för Kerberos (krb5.conf).

   Du måste lägga till en post för varje slav. En fullständig beskrivning av denna fil finns i direkthjälpsavsnittet krb5.conf(4) . Om du definierade kdc3 som en slavserver vid förkonfigureringen verifierar du innehållet i filen istället för att redigera den.

   kdc1 # cat /etc/krb5/krb5.conf [libdefaults] default_realm = ACME.COM [realms] ACME.COM = { kdc = kdc1.acme.com kdc = kdc2.acme.com kdc = kdc3.acme.com admin_server = kdc1.acme.com } [domain_realm] .acme.com = ACME.COM # # om domänen och användarkategorin har samma namn, # behövs inte den här posten # [logging] default = FILE:/var/krb5/kdc.log kdc = FILE:/var/krb5/kdc.log [appdefaults] gkadmin = { help_url = http://denver:8888/ab2/coll.384.1/SEAM/@AB2PageView/6956

5. På huvud-KDC:n: Lägg till en post för varje slav-KDC i konfigureringsfilen för databasöverföringen (kpropd.acl).

   En fullständig beskrivning av denna fil finns i direkthjälpsavsnittet kprop(1M). Om du definierade kdc3 som en slavserver vid förkonfigureringen verifierar du innehållet i filen istället för att redigera den.

   kdc1 # cat /etc/krb5/kpropd.acl host/kdc1.acme.com@ACME.COM host/kdc2.acme.com@ACME.COM host/kdc3.acme.com@ACME.COM

6. På alla slavservrar: Kopiera administrationsfilerna för KDC från huvud-KDC-servern.

   Det här steget måste genomföras på samtliga slav-KDC:er eftersom huvud-KDC-servern har uppdaterad information som behövs på varje KDC-server. Om du definierade kdc3 som en slavserver vid förkonfigureringen verifierar du innehållet i filerna istället för att redigera dem. Du kan använda ftp eller liknande överföringsmekanism för att hämta kopior av följande filer från huvudservern:

   • /etc/krb5/krb5.conf

   • /etc/krb5/kdc.conf

   • /etc/krb5/kpropd.acl

7. På den nya slavservern: Lägg till slavens värdprincipal till dess keytab-fil med kadmin.

   Du måste logga in med ett av de principalnamn för admin som du skapade när du konfigurerade huvud-KDC:n. Den här sekvensen behövs för att kprop och andra Kerberos-anpassade program ska fungera.

   kdc3 # /usr/krb5/sbin/kadmin -p kws/admin Ange lösenord: <Skriv lösenord för kws/admin> kadmin: ktadd host/kdc3.acme.com kadmin: En post för principalen host/kdc3.acme.com med kvno 3, krypteringstyp DES-CBC-CRC har lagts till i keytab-filen WRFILE:/etc/krb5/krb5.keytab kadmin: avsluta

8. På huvud-KDC:n: Lägg till slav-KDC-namn till det cron-jobb som automatiskt utför säkerhetskopiering, genom att köra crontab -e.

   Lägg till namnet på varje slav-KDC-server i slutet på kprop_script-raden. Om du definierade kdc3 som en slavserver vid förkonfigureringen verifierar du innehållet i filen istället för att redigera den.

   10 3 * * * /usr/krb5/lib/kprop_script kdc2.acme.com kdc3.acme.com

   Det kan också tänkas att du vill ändra tiden för säkerhetskopieringen. Med den här konfigurationen startar säkerhetskopieringen varje dag kl 03:10.

9. På huvud-KDC:n: Säkerhetskopiera och överför databasen med kprop_script.

   Om det redan finns en säkerhetskopia av databasen är det inte nödvändigt att genomföra ytterligare en säkerhetskopiering. Mer information finns i "Så här överför du Kerberos-databasen till slav-KDC:erna manuellt".

   kdc1 # /usr/krb5/lib/kprop_script kdc3.acme.com Databasöverföring till kdc3.acme.com: LYCKADES

10. På den nya slavservern: Skapa en lagringsfil med kdb5_util.

    kdc3 # /usr/krb5/sbin/kdb5_util stash kdb5_util: Det går inte att hitta/läsa den lagrade huvudnyckeln vid läsning av huvudnyckeln kdb5_util: Varning! Fortsätter utan huvudnyckeln Ange huvudnyckeln för KDC-databasen: <skriv nyckeln>

11. På den nya slavservern: Starta bakgrundsprogrammet för KDC (krb5kdc).

    kdc3 # /etc/init.d/kdc start

12. Valfritt: Synkronisera huvud-KDC:ns klocka från den nya slavservern med hjälp av NTP eller annan klocksynkroniseringsmekanism.

    Det är inte nödvändigt att installera och använda NTP, men tiden hos varje klocka måste ligga inom den standardtid som definierats i avsnittet libdefaults i filen krb5.conf för att verifieringen ska lyckas. Mer information om NTP finns i "Synkronisera klockor mellan KDC:er och SEAM-klienter"