Copia de seguridad y propagación de la base de datos de Kerberos

La propagación de la base de datos de Kerberos desde el KDC maestro a los esclavos es una de las tareas de configuración más importantes. Si no se produce suficientemente a menudo, el KDC maestro y los esclavos no estarán sincronizados, de forma que si se desactiva el KDC maestro, los KDC esclavos no tendrán la información de base de datos más reciente. Además, si se ha configurado un KDC esclavo como un maestro para el equilibrio de cargas, los clientes que utilicen ese esclavo como un KDC maestro no tendrán la información más reciente. Por tanto, es importante asegurarse de que la propagación se produzca suficientemente a menudo, según la frecuencia de cambio de la base de datos de Kerberos.

Al tiempo que configura el KDC maestro, configura también kprop_script en un trabajo de cron para realizar una copia de seguridad automática de la base de datos de Kerberos en el archivo de volcado /var/krb5/slave_datatrans y para propagarlo a los KDC esclavos. Sin embargo, al igual que cualquier archivo, la base de datos de Kerberos puede corromperse. Si esto sucede en uno de los KDC esclavos, quizás nunca lo advierta, ya que la siguiente propagación automática de la base de datos instalará una copia reciente. Sin embargo, si sucede en el KDC maestro, se propagará la base de datos corrompida a todos los esclavos durante la propagación siguiente. Además, la base de datos corrompida sobrescribe el archivo de copia de seguridad anterior no corrompido del KDC maestro.

Como en esta situación no hay ninguna copia de seguridad "segura", también debería configurar periódicamente un trabajo de cron para copiar el archivo de volcado slave_datatrans a otra posición o para crear otra copia de seguridad independiente mediante el comando dump de kdb5_util. Así, si se corrompe su base de datos, puede restaurar la copia de seguridad más reciente en el KDC maestro mediante el comando load de kdb5_util.

Otro aspecto importante es que, como el archivo de volcado de la base de datos contiene las claves de principal, debe protegerlo contra su acceso por usuarios no autorizados (de forma predeterminada, el archivo de volcado de la base de datos únicamente tiene permiso de lectura/escritura para root). Esto incluye utilizar solamente el comando kprop para propagar el archivo de volcado de la base de datos, que encripta los datos que se están transfiriendo. Además, kprop únicamente propaga los datos a los KDC esclavos, lo que minimiza la posibilidad de enviar accidentalmente el volcado de la base de datos a sistemas no autorizados.

Si se actualiza la base de datos de Kerberos después de que se haya propagado y, si resulta corrompida a continuación antes de la siguiente propagación, los esclavos no contendrán las actualizaciones: éstas se perderán. Debido a esta situación, si agrega actualizaciones importantes a la base de datos antes de una propagación planificada regularmente, debería propagar la base de datos manualmente para evitar la pérdida de datos.

Archivo kpropd.acl

El archivo kpropd.acl de un KDC proporciona una lista de los nombres de principal de sistema, uno por línea, que especifica los sistemas desde los que el KDC puede recibir una base de datos actualizada a través del mecanismo de propagación. Si se utiliza el KDC maestro para propagar todos los KDC esclavos, el archivo kpropd.acl de cada esclavo únicamente necesita contener el nombre de principal de sistema del maestro.

Sin embargo, la instalación de SEAM y los pasos de configuración siguientes de esta guía le indican que agregue el mismo archivo kpropd.acl a los KDC maestros y esclavos. Este archivo contiene todos los nombres de principal de KDC. Tal configuración permite realizar la propagación desde cualquier KDC, en caso de que el KDC de propagación no esté disponible temporalmente. Además, conservar una copia idéntica en todos los KDC hace que sea fácil de mantener.

Comando kprop_script

El comando kprop_script utiliza kprop para propagar la base de datos de Kerberos a otros KDC (si se ejecuta kprop_script en un KDC esclavo, propaga la copia del esclavo de la base de datos de Kerberos a otros KDC). kprop_script acepta como argumentos una lista de nombres de sistema separados por espacios, que señalan los KDC que deben propagarse.

Cuando se ejecuta kprop_script, crea una copia de seguridad de la base de datos de Kerberos en el archivo /var/krb5/slave_datatrans y copia el archivo a los KDC especificados. La base de datos de Kerberos está bloqueada hasta que termine la propagación.