test

Sun Guía de Sun Enterprise Authentication Mechanism

Configuración de un KDC esclavo intercambiable

Este procedimiento debe llevarse a cabo en el servidor KDC esclavo que desea tener disponible para que se convierta en el maestro.

  1. Durante la instalación, utilice nombres de alias para los servidores KDC maestro y esclavo intercambiables.

    Al definir los nombres de sistema para los KDC, asegúrese de que cada sistema tenga incluido un alias en DNS y utilice los nombres de alias al definirlos en /etc/krb5/krb5.conf.

  2. Instale el software de KDC maestro.

    Al instalar el software de KDC maestro se proporcionan todos los binarios y otros archivos que serán necesarios durante un intercambio, cosa que incluye todos los archivos que necesita un servidor KDC esclavo. Cuando termine la instalación, no rearranque el sistema.

  3. Siga los pasos para instalar un KDC esclavo.

    Antes de realizar cualquier intercambio, este servidor debería funcionar al igual que cualquier otro KDC esclavo del ámbito. Véase "Configuración de un KDC esclavo" para obtener instrucciones. No instale el software de esclavo. Cuando se instale el software de maestro, se instalarán todos los archivos necesarios.

  4. Mueva los comandos del KDC maestro.

    Para evitar que se ejecuten los comandos del KDC maestro desde este esclavo, mueva kprop, kadmind y kadmin.local a un lugar reservado.


    kdc4 # mv /usr/krb5/lib/kprop /usr/krb5/lib/kprop.save
kdc4 # mv /usr/krb5/lib/kadmind /usr/krb5/lib/kadmind.save
kdc4 # mv /usr/krb5/sbin/kadmin.local /usr/krb5/sbin/kadmin.local.save

  5. Inhabilite el inicio de kadmind en /etc/init.d/kdc.master.

    Para evitar que el esclavo maneje las solicitudes para cambiar la base de datos del KDC, convierta en comentario la línea que inicia kadmind en la secuencia:


    kdc4 # cat /etc/init.d/kdc.master

. 
. 
case "$1" in 
'start') 

if [ -f $KDC_CONF_DIR/kdc.conf ] 
then
#                $BINDIR/kadmind 
        fi 
;;

  6. Convierta en comentario la línea kprop del archivo crontab de root.

    Este paso evita que el esclavo propague su copia de la base de datos del KDC.


    kdc4 # crontab -e
#ident  "@(#)root       1.19    98/07/06 SMI"   /* SVr4.0 1.1.3.1       */ 
# 
# El crontab de root se debe utilizar para realizar la recopilación de los 
# datos de contabilidad. 
# 
# El comando rtc se ejecuta para ajustar el reloj de tiempo real
# cuando cambie la hora de verano, en caso de que cambie.
# 
10 3 * * 0,4 /etc/cron.d/logchecker 
10 3 * * 0   /usr/lib/newsyslog 
15 3 * * 0 /usr/lib/fs/nfs/nfsfind 
1 2 * * * [ -x /usr/sbin/rtc ] && /usr/sbin/rtc -c > /dev/null 2>&1 
30 3 * * * [ -x /usr/lib/gss/gsscred_clean ] && /usr/lib/gss/gsscred_clean
#10 3 * * * /usr/krb5/lib/kprop_script kdc1.acme.sun.com #SUNWkr5ma