So wird ein Slave-KDC konfiguriert

In diesem Verfahren wird ein neues Slave-KDC mit dem Namen kdc3 konfiguriert. Um ein vollständiges Beispiel zu bieten, wird angenommen, dass Sie beim Installieren der Software entweder nicht die Vorkonfigurationsprozedur verwendet oder bei Ausführung der Vorkonfigurationsprozedur kdc3 nicht als Slave definiert haben. Wenn Sie die Vorkonfigurationsprozedur jedoch verwendet und kdc3 als Slave definiert haben, dann brauchen viele der in dieser Prozedur enthaltenen Dateien nicht bearbeitet werden; Sie sollten allerdings deren Inhalte überprüfen.

Dieses Verfahren verwendet die folgenden Konfigurationsparameter:

• Bereichsname = ACME.COM

• DNS-Domainname = acme.com

• Master-KDC = kdc1.acme.com

• slave kdc = kdc2.acme.com und kdc3.acme.com

• Admin-Hauptbenutzer = kws/admin

• Online-Hilfe-URL = http://stuttgart:8888/ab2/coll.384.1/SEAM/@AB2PageView/6956

  ---

  Hinweis -

  Passen Sie den URL so an, dass er auf den Abschnitt "SEAM Verwaltungstool" verweist, wie in den Hinweisen zur Installation und Version von SEAM beschrieben.

  ---

1. Voraussetzungen für die Konfiguration eines Slave-KDCs.

   Bei diesem Verfahren ist erforderlich, dass das Master-KDC konfiguriert und die SEAM-Software für Slave-KDCs auf kdc3 installiert worden ist. Besondere Anweisungen bei austauschfähigem Slave finden Sie unter "Austauschen von Master- und Slave-KDCs".

2. Auf dem Master-KDC: Melden Sie sich als Superuser an.

3. Auf dem Master-KDC: Starten Sie kadmin.

   Sie müssen sich mit einem der admin-Hauptbenutzernamen anmelden, die Sie beim Konfigurieren des Master-KDCs erstellt haben.

   kdc1 # /usr/krb5/sbin/kadmin -p kws/admin Passwort eingeben: <Eingabe des Passworts für kws/admin> kadmin:

   1. Auf dem Master-KDC: Fügen Sie Slave-Host-Hauptbenutzer mithilfe von kadmin zur Datenbank hinzu, sofern nicht bereits geschehen.

      Damit der Slave funktioniert, muss er einen Host-Hauptbenutzer haben.

      kadmin: addprinc -randkey host/kdc3.acme.com Hauptbenutzer "host/kdc3.acme.com@ACME.COM" erstellt. kadmin:

   2. Optional: Erstellen Sie mithilfe von kadmin auf dem Master-KDC den Hauptbenutzer root für das Slave-KDC.

      Dieser Hauptbenutzer wird nur benötigt, wenn der Slave einen NFS-Mount eines authentisierten Dateisystems vornehmen wird.

      kadmin: addprinc root/kdc3.acme.com Geben Sie das Passwort für Hauptbenutzer "root/kdc3.acme.com@ACME.COM" ein: <Eingabe des Passworts> Geben Sie das Passwort für Hauptbenutzer "root/kdc3.acme.com@ACME.COM" erneut ein: <Nochmalige Eingabe> Hauptbenutzer "root/kdc3.acme.com@ACME.COM" erstellt. kadmin:

   3. Beenden Sie kadmin

      kadmin: quit

4. Auf dem Master-KDC: Bearbeiten Sie die Kerberos-Konfigurationsdatei (krb5.conf).

   Sie müssen für jeden Slave einen Eintrag hinzufügen. Eine vollständige Beschreibung dieser Datei finden Sie in der Online-Dokumentation (Man Page) unter krb5.conf(4).Wenn Sie beim Ausführen der Vorkonfigurationsprozedur kdc3 als Slave-Server definiert haben, dann überprüfen Sie den Inhalt der Datei nur, anstatt ihn zu bearbeiten.

   kdc1 # cat /etc/krb5/krb5.conf [libdefaults] default_realm = ACME.COM [realms] ACME.COM = { kdc = kdc1.acme.com kdc = kdc2.acme.com kdc = kdc3.acme.com admin_server = kdc1.acme.com } [domain_realm] .acme.com = ACME.COM # # Wenn Domainname und Bereichsname identisch sind, # wird dieser Eintrag nicht benötigt # [logging] default = FILE:/var/krb5/kdc.log kdc = FILE:/var/krb5/kdc.log [appdefaults] gkadmin = { help_url = http://stuttgart:8888/ab2/coll.384.1/SEAM/@AB2PageView/6956

5. Auf dem Master-KDC: Fügen Sie für jedes Slave-KDC einen Eintrag in die Vervielfältigungskonfigurationsdatei der Datenbank (kpropd.acl) ein.

   Eine vollständige Beschreibung dieser Datei erhalten Sie in der Online-Dokumentation zu kprop(1M). Wenn Sie beim Ausführen der Vorkonfigurationsprozedur kdc3 als Slave-Server definiert haben, dann überprüfen Sie den Inhalt der Datei nur, anstatt ihn zu bearbeiten.

   kdc1 # cat /etc/krb5/kpropd.acl host/kdc1.acme.com@ACME.COM host/kdc2.acme.com@ACME.COM host/kdc3.acme.com@ACME.COM

6. Auf allen Slaves: Kopieren Sie die KDC-Verwaltungsdateien vom Master-KDC-Server.

   Dieser Schritt muss auf allen Slave-KDCs durchgeführt werden, da der Master-KDC-Server die aktualisierten Informationen enthält, die jeder andere KDC-Server benötigt. Wenn Sie beim Ausführen der Vorkonfigurationsprozedur kdc3 als einen Slave-Server definiert haben, dann überprüfen Sie den Inhalt der Datei nur, anstatt ihn zu bearbeiten. Sie können mit ftp oder einem ähnlichen Übertragungsmechanismus Kopien der folgenden Dateien vom Master erstellen:

   • /etc/krb5/krb5.conf

   • /etc/krb5/kdc.conf

   • /etc/krb5/kpropd.acl

7. Auf dem neuen Slave: Fügen Sie dessen Host-Hauptbenutzer zur Schlüsseltabellendatei des Slave mithilfe des Programms kadmin hinzu.

   Sie müssen sich mit einem der admin-Hauptbenutzernamen anmelden, die Sie beim Konfigurieren des Master-KDCs erstellt haben. Durch diesen Eintrag können kprop und andere mit Kerberos ausgestattete Anwendungen korrekt ausgeführt werden.

   kdc3 # /usr/krb5/sbin/kadmin -p kws/admin Passwort eingeben: <Eingabe des Passworts für kws/admin> kadmin: ktadd host/kdc3.acme.com kadmin: Eintrag für host/kdc3.acme.com mit kvno 3, Verschlüsselungstyp DES-CBC-CRC zur Schlüsseltabelle hinzugefügt WRFILE:/etc/krb5/krb5.keytab kadmin: quit

8. Auf dem Master-KDC: Fügen Sie die Slave-KDC-Namen zum Job cron (mit dem automatisch die Sicherungen durchgeführt werden) durch Aufruf von crontab -e hinzu.

   Fügen Sie den Namen jedes Slave-KDC-Servers am Ende der Zeile kprop_script ein. Wenn Sie beim Ausführen der Vorkonfigurationsprozedur kdc3 als Slave-Server definiert haben, dann überprüfen Sie den Inhalt der Datei nur, anstatt ihn zu bearbeiten.

   10 3 * * * /usr/krb5/lib/kprop_script kdc2.acme.com kdc3.acme.com

   Sie möchten vielleicht auch den Zeitpunkt für die Sicherungen ändern. Diese Konfiguration startet den Sicherungsprozess jede Nacht um 3:10 Uhr.

9. Auf dem Master-KDC: Führen Sie eine Sicherung und Vervielfältigung der Datenbank mithilfe von kprop_script durch.

   Wenn bereits eine Sicherungskopie der Datenbank zur Verfügung steht, ist es nicht nötig, eine andere Sicherung durchzuführen. Weitere Anweisungen finden Sie unter "So wird die Kerberos-Datenbank manuell auf Slave-KDCs vervielfältigt".

   kdc1 # /usr/krb5/lib/kprop_script kdc3.acme.com Datenbankvervielfältigung auf kdc3.acme.com: ERFOLGREICH

10. Auf dem neuen Slave: Erstellen Sie mithilfe von kdb5_util eine stash-Datei (Vorsorgedatei).

    kdc3 # /usr/krb5/sbin/kdb5_util stash kdb5_util: Kann gespeicherten Masterschlüssel nicht finden/lesen, während Masterschlüssel gelesen wird: kdb5_util: Warnung: es wird ohne Masterschlüssel fortgefahren Geben Sie den Masterschlüssel für die KDC-Datenbank ein: <Eingabe des Schlüssels>

11. Auf dem neuen Slave: Starten Sie den KDC-Dämonen (krb5kdc).

    kdc3 # /etc/init.d/kdc start

12. Optional: Synchronisieren Sie auf dem neuen Slave die Systemuhr des Master-KDCs mit NTP oder einem anderen Mechanismus für die Synchronisation der Uhrzeit.

    Es nicht erforderlich, NTP zu installieren und zu verwenden, aber jede Systemuhr muss auf einen Standard-Zeitbereich eingestellt sein, der im Abschnitt libdefaults der Datei krb5.conf definiert ist, damit eine Authentisierung erfolgreich ist. Weitere Informationen über NTP finden Sie unter "Synchronisieren der Uhren zwischen KDCs und SEAM-Clients".