Configuración de un KDC esclavo

En este procedimiento se configura un nuevo KDC esclavo llamado kdc3. Para proporcionar un ejemplo completo, se asume que no ha utilizado el procedimiento de configuración previa al instalar el software o no ha definido kdc3 como esclavo al ejecutar tal procedimiento. Si ha utilizado el procedimiento y ha identificado kdc3 como un esclavo, no deberá editar muchos de los archivos incluidos en este procedimiento, pero debería revisar su contenido.

Este procedimiento utiliza los parámetros de configuración siguientes:

• nombre de ámbito = ACME.COM

• nombre de dominio de DNS = acme.com

• kdc maestro = kdc1.acme.com

• kdc esclavo = kdc2.acme.com y kdc3.acme.com

• principal admin = kws/admin

• URL de ayuda en línea = http://puebla:8888/ab2/coll.384.1/SEAM/@AB2PageView/6956

  ---

  Nota -

  Ajuste el URL para que lleve al apartado "Herramienta de administración de SEAM" tal y como se indica en SEAM: Notas sobre la instalación y la versión.

  ---

1. Requisitos previos para configurar un KDC esclavo.

   Este procedimiento precisa que se haya configurado el KDC maestro y que se haya instalado el software de KDC esclavo de SEAM en kdc3. Si este esclavo será intercambiable, véase "Intercambio de KDC maestro y esclavo" para obtener instrucciones específicas.

2. En el KDC maestro: conviértase en superusuario.

3. En el KDC maestro: Inicie kadmin.

   Debe iniciar una sesión con uno de los nombres de principal admin que creó al configurar el KDC maestro.

   kdc1 # /usr/krb5/sbin/kadmin -p kws/admin Escriba ls contraseña: <Escriba la contraseña de kws/admin> kadmin:

   1. En el KDC maestro: agregue los principales de sistema esclavos a la base de datos, si todavía no lo ha hecho, mediante kadmin.

      Para que funcione el esclavo, debe tener un principal de sistema.

      kadmin: addprinc -randkey host/kdc3.acme.com Principal "host/kdc3@ACME.COM" creado. kadmin:

   2. Opcional: cree el principal root del KDC esclavo en el KDC maestro mediante kadmin.

      Este principal únicamente es necesario si el esclavo va a montar un sistema de archivos autenticado mediante NFS.

      kadmin: addprinc root/kdc3.acme.com Escriba la contraseña para el principal root/kdc3.acme.com@ACME.COM: <escriba la contraseña> Vuelva a escribir la contraseña para el principal root/kdc3.acme.com@ACME.COM: <escríbala de nuevo> Principal "root/kdc3.acme.com@ACME.COM" creado. kadmin:

   3. Salga de kadmin

      kadmin: quit

4. En el KDC maestro: edite el archivo de configuración de Kerberos (krb5.conf).

   Debe agregar una entrada para cada esclavo. Para obtener una descripción completa de este archivo, véase la página del comando man krb5.conf(4) . Si ha definido kdc3 como un servidor esclavo al ejecutar el procedimiento de configuración previa, verifique el contenido del archivo en lugar de editarlo.

   kdc1 # cat /etc/krb5/krb5.conf [libdefaults] default_realm = ACME.COM [realms] ACME.COM = { kdc = kdc1.acme.com kdc = kdc2.acme.com kdc = kdc3.acme.com admin_server = kdc1.acme.com } [domain_realm] .acme.com = ACME.COM # # si el nombre de dominio y el nombre de ámbito son equivalentes, # esta entrada no es necesaria # [logging] default = FILE:/var/krb5/kdc.log kdc = FILE:/var/krb5/kdc.log [appdefaults] gkadmin = { help_url = http://puebla:8888/ab2/coll.384.1/SEAM/@AB2PageView/6956

5. En el KDC maestro: agregue una entrada para cada KDC esclavo en el archivo de configuración de la propagación de bases de datos ( kpropd.acl).

   Para obtener una descripción completa de este archivo, véase la página del comando man kprop(1M). ha definido kdc3 como un servidor esclavo al ejecutar el procedimiento de configuración previa, verifique el contenido del archivo en lugar de editarlo.

   kdc1 # cat /etc/krb5/kpropd.acl host/kdc1.acme.com@ACME.COM host/kdc2.acme.com@ACME.COM host/kdc3.acme.com@ACME.COM

6. En todos los esclavos: copie los archivos de administración del KDC desde el servidor KDC maestro.

   Este paso se debe seguir en todos los KDC esclavos, ya que el servidor KDC maestro posee información actualizada que necesitan todos los servidores KDC. Si ha definido kdc3 como un servidor esclavo al ejecutar el procedimiento de configuración previa, verifique el contenido del archivo en lugar de editarlo. Para obtener las copias de los archivos siguientes del maestro puede utilizar ftp o un mecanismo de transferencia similar:

   • /etc/krb5/krb5.conf

   • /etc/krb5/kdc.conf

   • /etc/krb5/kpropd.acl

7. En el esclavo nuevo: agregue el principal de sistema del esclavo a su archivo de tabla de claves mediante kadmin.

   Debe iniciar una sesión con uno de los nombres de principal admin que creó al configurar el KDC maestro. Esta entrada permitirá que funcione kprop y otras aplicaciones adaptadas a Kerberos.

   kdc3 # /usr/krb5/sbin/kadmin -p kws/admin Escriba la contraseña: <Escriba la contraseña de kws/admin> kadmin: ktadd host/kdc3.acme.com kadmin: Entrada para el principal host/kdc3.acme.com con kvno 3, tipo de codificación DES-CBC-CRC agregado a la tabla de claves WRFILE:/etc/krb5/krb5.keytab. kadmin: quit

8. En el KDC maestro: agregue los nombres de los KDC esclavos al trabajo cron, que ejecuta automáticamente las copias de seguridad, ejecutando crontab -e.

   Agregue el nombre de todos los servidores KDC esclavos al final de la línea kprop_script. Si ha definido kdc3 como un servidor esclavo al ejecutar el procedimiento de configuración previa, verifique el contenido del archivo en lugar de editarlo.

   10 3 * * * /usr/krb5/lib/kprop_script kdc2.acme.com kdc3.acme.com

   Quizás también desee cambiar la hora de las copias de seguridad. Esta configuración inicia el proceso de copia de seguridad cada día a las 3:10 de la madrugada.

9. En el KDC maestro: haga una copia de seguridad de la base de datos y propáguela mediante kprop_script.

   Si ya hay disponible una copia de seguridad de la base de datos, no es necesario terminar otra. Véase "Propagación manual de la base de datos de Kerberos a los KDC esclavos" para obtener instrucciones adicionales.

   kdc1 # /usr/krb5/lib/kprop_script kdc3.acme.com Propagación de base de datos a kdc3.acme.com: SATISFACTORIA

10. En el esclavo nuevo: cree un archivo de reserva mediante kdb5_util.

    kdc3 # /usr/krb5/sbin/kdb5_util stash kdb5_util: No es posible encontrar/leer la clave maestra almacenada al leer la clave maestra kdb5_util: Advertencia: continuando sin clave maestra Escriba la clave maestra de la base de datos KDC: <escriba la clave>

11. En el esclavo nuevo: inicie el daemon de KDC (krb5kdc).

    kdc3 # inicio de/etc/init.d/kdc

12. Opcional: en el esclavo nuevo, sincronice el reloj de los KDC maestros mediante NTP u otro mecanismo de sincronización de relojes.

    No es necesario instalar y utilizar NTP, pero, para que sea satisfactoria la autenticación, todos los relojes deben estar dentro del tiempo predeterminado definido en el apartado libdefaults del archivo krb5.conf. Véase "Sincronización de relojes entre los KDC y los clientes SEAM" para obtener información sobre NTP.