슬레이브 KDC 구성 방법
이 프로시저에서는 kdc3라는 새로운 슬레이브 KDC를 구성합니다. 완전한 예를 제공하기 위해, 소프트웨어 설치시 사전 구성 프로시저를 사용하지 않았고 사전 구성 프로시저를 실행할 때 kdc3를 슬레이브로 정의하지 않았다고 가정합니다. 사전 구성 프로시저를 사용하고 kdc3를 슬레이브로 지정하면 프로시저에 포함된 대부분의 파일을 편집할 필요 없이 파일 내용만 검토하면 됩니다.
이 프로시저에서는 다음과 같은 구성 매개변수가 사용됩니다.
-
영역 이름 = ACME.COM
-
DNS 도메인 이름 = acme.com
-
마스터 KDC kdc1.acme.com
-
슬레이브 KDC = kdc2.acme.com과 kdc3.acme.com
-
관리 주체 = kws/admin
-
온라인 도움말 URL = http://denver:8888/ab2/coll.384.1/SEAM/@AB2PageView/6956
주 -SEAM 설치 및 제품 출시 정보에 설명된 것과 같이 "SEAM 관리 도구" 절을 가리키도록 URL을 수정하십시오.
-
슬레이브 KDC 구성에 필요한 조건
이 프로시저를 수행하려면 마스터 KDC를 구성하고 SEAM 슬레이브 KDC 소프트웨어를 kdc3에 설치해야 합니다. 스왑 가능한 슬레이브를 구성하려면 특별한 이름 지정 방법에 대해 "마스터 및 슬레이브 KDC 스와핑"을 참고하십시오.
-
마스터 KDC의 수퍼유저가 됩니다.
-
마스터 KDC에서 kadmin을 시작합니다.
마스터 KDC를 구성할 때 작성한 admin 주체의 이름으로 로그온해야 합니다.
kdc1 # /usr/krb5/sbin/kadmin -p kws/admin 암호 입력: <kws/admin 암호를 입력합니다> kadmin:
-
마스터 KDC에서 슬레이브 호스트 주체가 데이터베이스에 추가되어 있지 않으면 kadmin을 사용하여 추가합니다.
슬레이브가 제대로 실행되려면 호스트 주체가 있어야 합니다.
kadmin: addprinc -randkey host/kdc3.acme.com "host/kdc3@ACME.COM" 주체가 작성되었습니다. kadmin:
-
선택 사항: 마스터 KDC에서 kadmin을 사용하여 슬레이브 KDC root 주체를 작성합니다.
이 주체는 슬레이브에서 인증된 파일 시스템을 NFS로 마운트할 때만 필요합니다.
kadmin: addprinc root/kdc3.acme.com root/kdc3.acme.com@ACME.COM 주체의 암호 입력: <암호를 입력합니다> root/kdc3.acme.com@ACME.COM 주체의 암호 재입력: <다시 입력합니다> "root/kdc3.acme.com@ACME.COM" 주체가 작성되었습니다. kadmin:
-
kadmin을 종료합니다.
kadmin: quit
-
-
마스터 KDC에서 Kerberos 구성 파일(krb5.conf)을 편집합니다.
각 슬레이브에 대한 항목을 추가해야 합니다. 이 파일에 대한 자세한 내용은 krb5.conf(4) 매뉴얼 페이지를 참고하십시오. 사전 구성 프로시저를 실행할 때 kdc3를 슬레이브 서버로 정의했다면 파일을 편집하지 않고 내용만 확인합니다.
kdc1 # cat /etc/krb5/krb5.conf [libdefaults] default_realm = ACME.COM [realms] ACME.COM = { kdc = kdc1.acme.com kdc = kdc2.acme.com kdc = kdc3.acme.com admin_server = kdc1.acme.com } [domain_realm] .acme.com = ACME.COM # # 만약 도메인이름과 영역이름이 동등하다면, # 이 사항은 필요없음 # [logging] default = FILE:/var/krb5/kdc.log kdc = FILE:/var/krb5/kdc.log [appdefaults] gkadmin = { help_url = http://denver:8888/ab2/coll.384.1/SEAM/@AB2PageView/6956 -
마스터 KDC에서 각 슬레이브 KDC의 항목을 데이터베이스 전파 구성 파일 (kpropd.acl)에 추가합니다.
이 파일에 대한 자세한 내용은 kprop(1M) 매뉴얼 페이지를 참고하십시오. 사전 구성 프로시저를 실행할 때 kdc3를 슬레이브 서버로 정의했다면 파일을 편집하지 않고 내용만 확인합니다.
kdc1 # cat /etc/krb5/kpropd.acl host/kdc1.acme.com@ACME.COM host/kdc2.acme.com@ACME.COM host/kdc3.acme.com@ACME.COM
-
모든 슬레이브에서 다음을 수행합니다. 마스터 KDC 서버로부터 KDC 관리 파일을 복사합니다.
마스터 KDC 서버에서 각 KDC 서버에 필요한 정보를 업데이트했기 때문에 모든 슬레이브 KDC에서 이 단계를 수행해야 합니다. 사전 구성 프로시저를 실행할 때 kdc3를 슬레이브 서버로 정의했다면 파일을 복사하지 않고 파일 내용만 확인합니다. ftp나 기타 전송 메커니즘을 사용하여 마스터에서 다음 파일의 복사본을 가져옵니다.
-
/etc/krb5/krb5.conf
-
/etc/krb5/kdc.conf
-
/etc/krb5/kpropd.acl
-
-
새로운 슬레이브에서 kadmin을 사용하여 슬레이브의 호스트 주체를 슬레이브의 키 테이블 파일에 추가합니다.
마스터 KDC를 구성할 때 작성한 admin 주체의 이름으로 로그온해야 합니다. 이 항목을 통해 kprop과 기타 Kerberos 암호화를 지원하는 응용 프로그램이 실행됩니다.
kdc3 # /usr/krb5/sbin/kadmin -p kws/admin 암호 입력: <kws/admin의 암호를 입력합니다> kadmin: ktadd host/kdc3.acme.com kadmin: kvno가 3인 host/kdc3.acme.com 주체의 항목, DES-CBC-CRC 암호화 유형이 WRFILE(/etc/krb5/krb5.keytab) 키 테이블에 추가되었습니다. kadmin: quit
-
마스터 KDC에서 crontab -e를 실행하여 백업을 자동으로 실행하는 cron 작업에 슬레이브 KDC 이름을 추가합니다.
kprop_script 행 끝에 각 슬레이브 KDC 서버의 이름을 추가합니다.사전 구성 프로시저를 실행할 때 kdc3를 슬레이브 서버로 정의했다면 파일을 편집하지 않고 내용만 확인합니다.
10 3 * * * /usr/krb5/lib/kprop_script kdc2.acme.com kdc3.acme.com
백업 시간은 변경이 가능합니다. 위의 예에서 백업 프로세스는 매일 오전 3:10분에 시작됩니다.
-
마스터 KDC에서 kprop_script를 사용하여 데이터베이스를 백업하고 전파합니다.
데이터베이스의 백업본을 사용할 수 있으면 다른 백업 작업을 수행할 필요가 없습니다. 자세한 내용은 "Kerberos 데이터베이스를 슬레이브 KDC로 수동 전파하는 방법"을 참고하십시오.
kdc1 # /usr/krb5/lib/kprop_script kdc3.acme.com kdc3.acme.com(으)로의 데이터베이스 전파: 성공함
-
새로운 슬레이브에서 kdb5_util을 사용하여 stash 파일을 작성합니다.
kdc3 # /usr/krb5/sbin/kdb5_util stash kdb5_util: 저장된 마스터 키를 찾거나 읽을 수 없습니다. 마스터 키를 읽는 중 kdb5_util: 경고: 마스터 키 없이 진행합니다. KDC 데이터베이스 마스터 키 입력: <키를 입력합니다>
-
새로운 슬레이브에서 KDC 데몬(krb5kdc)을 시작합니다.
kdc3 # /etc/init.d/kdc start
-
선택 사항: 새로운 슬레이브에서 NTP나 기타 클록 동기화 메커니즘을 사용하여 마스터 KDC 클록을 동기화합니다.
NTP를 반드시 설치할 필요는 없지만 인증을 받으려면 모든 클록이 krb5.conf 파일의 libdefaults 섹션에 정의된 기본 시간 범위에 포함되어야 합니다. NTP에 대한 자세한 내용은 "KDC와 SEAM 클라이언트의 클록 동기화"를 참고하십시오.
- © 2010, Oracle Corporation and/or its affiliates