如何配置一个可交换的从 KDC

本过程应当在您想要让其可以变为主 KDC 的从 KDC 服务器上进行。

1. 在安装过程中，请使用主 KDC 和可交换的从 KDC 服务器的别名。

   当为 KDC 定义主机名时，请确保每个系统在 DNS 中均包含有一个别名，并在 /etc/krb5/krb5.conf 中定义主机时使用别名。

2. 安装主 KDC 软件。

   安装主 KDC 软件，提供二进制文件以及交换过程中所需要的其它的文件，这包括从 KDC 服务器所要求的所有文件。安装完毕时不要重新引导系统。

3. 遵照执行用来安装一个从 KDC.的步骤

   在任何交换之前，该服务器应当象区域中的任何其它的从 KDC 一样工作。请参见 "如何配置一个从 KDC"，了解其操作指示。不要安装从软件。在安装主软件时，会安装所要求的所有文件。

4. 移动主 KDC 命令。

   为了防止从该从 KDC 上运行主 KDC 命令，请将 kprop、kadmind 和 kadmin.local 移到一个保留位置。

   kdc4 # mv /usr/krb5/lib/kprop /usr/krb5/lib/kprop.save kdc4 # mv /usr/krb5/lib/kadmind /usr/krb5/lib/kadmind.save kdc4 # mv /usr/krb5/sbin/kadmin.local /usr/krb5/sbin/kadmin.local.save

5. 在 /etc/init.d/kdc.master 中禁用 kadmind 启动。

   如要防止从 KDC 对更改 KDC 数据库的请求进行处理，请将行正文中用于启动 kadmind 的一行变为注释:

   kdc4 # cat /etc/init.d/kdc.master . . case "$1" in 'start') if [ -f $KDC_CONF_DIR/kdc.conf ] then # $BINDIR/kadmind fi ;;

6. 将root crontab 文件中的 kprop 一行变为注释。

   该步骤防止从 KDC 传播其 KDC 数据库副本。

   kdc4 # crontab -e #ident "@(#)root 1.19 98/07/06 SMI" /* SVr4.0 1.1.3.1 */ # # The root crontab should be used to perform accounting data collection. # # The rtc command is run to adjust the real time clock if and when # daylight savings time changes. # 10 3 * * 0,4 /etc/cron.d/logchecker 10 3 * * 0 /usr/lib/newsyslog 15 3 * * 0 /usr/lib/fs/nfs/nfsfind 1 2 * * * [ -x /usr/sbin/rtc ] && /usr/sbin/rtc -c > /dev/null 2>&1 30 3 * * * [ -x /usr/lib/gss/gsscred_clean ] && /usr/lib/gss/gsscred_clean #10 3 * * * /usr/krb5/lib/kprop_script kdc1.acme.sun.com #SUNWkr5ma