Austauschen von Master-KDC und Slave-KDC

Die Verfahren in diesem Abschnitt vereinfachen das Austauschen eines Master-KDC gegen ein Slave-KDC. Tauschen Sie das Master-KDC nur gegen ein Slave-KDC aus, wenn der Master-KDC-Server ausfällt oder das Master-KDC neu installiert werden muss (beispielsweise wenn neue Hardware installiert wurde).

So konfigurieren Sie ein austauschbares Slave-KDC

Führen Sie dieses Verfahren auf dem Slave-KDC-Server durch, der als Master-KDC verfügbar sein soll. Bei diesem Verfahren wird davon ausgegangen, dass Sie die inkrementelle Weitergabe verwenden.

Verwenden Sie während der KDC-Installation Alias-Namen für das Master-KDC und das austauschbare Slave-KDC.
Stellen Sie beim Definieren der Hostnamen für die KDCs sicher, dass jedes System über ein Alias im DNS verfügt. Verwenden Sie die Alias-Namen auch bei der Definition der Hosts in der Datei /etc/krb5/krb5.conf.
Führen Sie die Schritte zur Installation eines Slave-KDC aus.
Vor dem Austausch sollte dieser Server wie jeder andere Slave-KDC in dem Bereich verwendet werden. Anweisungen finden Sie unter So konfigurieren Sie ein Slave-KDC manuell.
Verschieben Sie die Master-KDC-Befehle.
Um zu verhindern, dass die Master-KDC-Befehle auf diesem Slave-KDC ausgeführt werden, verschieben Sie die Befehle kprop, kadmind und kadmin.local an eine reservierte Position.
```
kdc4 # mv /usr/lib/krb5/kprop /usr/lib/krb5/kprop.save
kdc4 # mv /usr/lib/krb5/kadmind /usr/lib/krb5/kadmind.save
kdc4 # mv /usr/sbin/kadmin.local /usr/sbin/kadmin.local.save
```

So tauschen Sie ein Master-KDC gegen ein Slave-KDC aus

Bei diesem Verfahren wird ein Master-KDC-Server namens kdc1 ausgetauscht. Das Slave-KDC kdc4 wird zum neuen Master-KDC. Bei diesem Verfahren wird davon ausgegangen, dass Sie die inkrementelle Weitergabe verwenden.

Bevor Sie beginnen

Für dieses Verfahren muss der Slave-KDC-Server als austauschbarer Slave eingerichtet sein. Weitere Informationen finden Sie unter So konfigurieren Sie ein austauschbares Slave-KDC).

Starten Sie kadmin auf dem neuen Master-KDC.

kdc4 # /usr/sbin/kadmin -p kws/admin
Enter password: <Type kws/admin password>
kadmin:

Erstellen Sie neue Hauptelemente für den Service kadmind.

In dem folgenden Beispiel wird der Befehl addprinc auf zwei Zeilen angezeigt, er sollte jedoch in einer Zeile eingegeben werden.

kadmin: addprinc -randkey -allow_tgs_req +password_changing_service -clearpolicy \ changepw/kdc4.example.com
Principal "changepw/kdc4.example.com@ENG.SUN.COM" created.
kadmin: addprinc -randkey -allow_tgs_req -clearpolicy kadmin/kdc4.example.com
Principal "kadmin/kdc4.example.com@EXAMPLE.COM" created.
kadmin:

Erstellen Sie eine Schlüsseltabellendatei.

kadmin: ktadd -k /etc/krb5/kadm5.keytab kadmin/kdc4.example.com
Entry for principal kadmin/kdc4.example.com with kvno 3, encryption type AES-256 CTS mode
with 96-bit SHA-1 HMAC added to keytab WRFILE:/etc/krb5/kadm5.keytab.
Entry for principal kadmin/kdc4.example.com with kvno 3, encryption type AES-128 CTS mode
with 96-bit SHA-1 HMAC added to keytab WRFILE:/etc/krb5/kadm5.keytab.
Entry for principal kadmin/kdc4.example.com with kvno 3, encryption type Triple DES cbc
mode with HMAC/sha1 added to keytab WRFILE:/etc/krb5/kadm5.keytab.
Entry for principal kadmin/kdc4.example.com with kvno 3, encryption type ArcFour
with HMAC/md5 added to keytab WRFILE:/etc/krb5/kadm5.keytab.
Entry for principal kadmin/kdc4.example.com with kvno 3, encryption type DES cbc mode
with RSA-MD5 added to keytab WRFILE:/etc/krb5/kadm5.keytab.
kadmin: ktadd -k /etc/krb5/kadm5.keytab changepw/kdc4.example.com
Entry for principal changepw/kdc4.example.com with kvno 3, encryption type AES-256 CTS mode
with 96-bit SHA-1 HMAC added to keytab WRFILE:/etc/krb5/kadm5.keytab.
Entry for principal changepw/kdc4.example.com with kvno 3, encryption type AES-128 CTS mode
with 96-bit SHA-1 HMAC added to keytab WRFILE:/etc/krb5/kadm5.keytab.
Entry for principal changepw/kdc4.example.com with kvno 3, encryption type Triple DES cbc
mode with HMAC/sha1 added to keytab WRFILE:/etc/krb5/kadm5.keytab.
Entry for principal changepw/kdc4.example.com with kvno 3, encryption type ArcFour
with HMAC/md5 added to keytab WRFILE:/etc/krb5/kadm5.keytab.
Entry for principal changepw/kdc4.example.com with kvno 3, encryption type DES cbc mode
with RSA-MD5 added to keytab WRFILE:/etc/krb5/kadm5.keytab.
kadmin: ktadd -k /etc/krb5/kadm5.keytab kadmin/changepw
Entry for principal kadmin/changepw with kvno 3, encryption type AES-256 CTS mode
with 96-bit SHA-1 HMAC added to keytab WRFILE:/etc/krb5/kadm5.keytab.
Entry for principal kadmin/changepw with kvno 3, encryption type AES-128 CTS mode
with 96-bit SHA-1 HMAC added to keytab WRFILE:/etc/krb5/kadm5.keytab.
Entry for principal kadmin/changepw with kvno 3, encryption type Triple DES cbc
mode with HMAC/sha1 added to keytab WRFILE:/etc/krb5/kadm5.keytab.
Entry for principal kadmin/changepw with kvno 3, encryption type ArcFour
with HMAC/md5 added to keytab WRFILE:/etc/krb5/kadm5.keytab.
Entry for principal kadmin/changepw with kvno 3, encryption type DES cbc mode
with RSA-MD5 added to keytab WRFILE:/etc/krb5/kadm5.keytab.
kadmin:

Beenden Sie kadmin.
```
kadmin: quit
```

Erzwingen Sie auf dem neuen Master-KDC eine Synchronisierung.
Durch die folgenden Schritte wird eine vollständige KDC-Aktualisierung auf dem Slave-Server erzwungen.
```
kdc4 # svcadm disable network/security/krb5kdc
kdc4 # rm /var/krb5/principal.ulog
```
Überprüfen Sie auf dem neuen Master-KDC, ob die Aktualisierung abgeschlossen ist.
```
kdc4 # /usr/sbin/kproplog -h
```
Starten Sie auf dem neuen Master-KDC den KDC-Service.
```
kdc4 # svcadm enable -r network/security/krb5kdc
```
Löschen Sie das Aktualisierungsprotokoll auf dem neuen Master-KDC.
Durch diese Schritte wird das Aktualisierungsprotokoll für den neuen Master-KDC-Server initialisiert.
```
kdc4 # svcadm disable network/security/krb5kdc
kdc4 # rm /var/krb5/principal.ulog
```
Beenden Sie die Prozesse kadmind und krb5kdc auf dem alten Master-KDC.
Wenn Sie den Prozess kadmind beenden, verhindern Sie Änderungen an der KDC-Datenbank.
```
kdc1 # svcadm disable network/security/kadmin
kdc1 # svcadm disable network/security/krb5kdc
```

Geben Sie auf dem alten Master-KDC die Abfragezeit für Weitergaben an.

Kommentieren Sie den Eintrag sunw_dbprop_master_ulogsize in /etc/krb5/kdc.conf aus und fügen Sie einen Eintrag zur Definition von sunw_dbprop_slave_poll hinzu. Dieser Eintrag stellt eine Abfragezeit von 2 Minuten ein.

kdc1 # cat /etc/krb5/kdc.conf
[kdcdefaults]
        kdc_ports = 88,750

[realms]
        EXAMPLE.COM= {
                profile = /etc/krb5/krb5.conf
                database_name = /var/krb5/principal
                admin_keytab = /etc/krb5/kadm5.keytab
                acl_file = /etc/krb5/kadm5.acl
                kadmind_port = 749
                max_life = 8h 0m 0s
                max_renewable_life = 7d 0h 0m 0s
                sunw_dbprop_enable = true
#               sunw_dbprop_master_ulogsize = 1000
                sunw_dbprop_slave_poll = 2m
        }

Verschieben Sie die Master-KDC-Befehle und die Datei kadm5.acl auf dem alten Master-KDC.

Um zu verhindern, dass die Master-KDC-Befehle ausgeführt werden, verschieben Sie die Befehle kprop, kadmind und kadmin.local an eine reservierte Position.

kdc1 # mv /usr/lib/krb5/kprop /usr/lib/krb5/kprop.save
kdc1 # mv /usr/lib/krb5/kadmind /usr/lib/krb5/kadmind.save
kdc1 # mv /usr/sbin/kadmin.local /usr/sbin/kadmin.local.save
kdc1 # mv /etc/krb5/kadm5.acl /etc/krb5/kadm5.acl.save

Ändern Sie die Alias-Namen für das Master-KDC auf dem DNS-Server.
Um die Server zu ändern, bearbeiten Sie die Zonendatei example.com und ändern Sie den Eintrag für masterkdc.
```
masterkdc IN CNAME kdc4
```
Starten Sie den Internet-Domainnamenserver auf dem DNS-Server neu.
Führen Sie den folgenden Befehl zum Laden der neuen Aliasinformationen aus:
```
# svcadm refresh network/dns/server
```

Verschieben Sie die Master-KDC-Befehle und die Slave-Datei kadm.acl auf dem neuen Master-KDC.

kdc4 # mv /usr/lib/krb5/kprop.save /usr/lib/krb5/kprop
kdc4 # mv /usr/lib/krb5/kadmind.save /usr/lib/krb5/kadmind
kdc4 # mv /usr/sbin/kadmin.local.save /usr/sbin/kadmin.local
kdc4 # mv /etc/krb5/kpropd.acl /etc/krb5/kpropd.acl.save

Erstellen Sie die Kerberos-Zugriffsteuerungsliste (kadm5.acl) auf dem neuen Master-KDC.
Nach der Datenaufnahme sollte die Datei /etc/krb5/kadm5.acl alle Hauptelementnamen enthalten, die zur Verwaltung des KDC berechtigt sind. Die Datei sollte auch eine Liste aller Slaves enthalten, die inkrementelle Weitergabeanforderungen stellen. Weitere Informationen finden Sie auf der Manpage kadm5.acl(4).
```
kdc4 # cat /etc/krb5/kadm5.acl
kws/admin@EXAMPLE.COM *
kiprop/kdc1.example.com@EXAMPLE.COM p
```

Geben Sie die Aktualisierungsprotokollgröße in der Datei kdc.conf auf dem neuen Master-KDC an.

Kommentieren Sie den Eintrag sunw_dbprop_slave_poll aus und fügen Sie einen Eintrag zur Definition von sunw_dbprop_master_ulogsize hinzu. Dieser Eintrag stellt eine Protokollgröße von 1000 Einträgen ein.

kdc1 # cat /etc/krb5/kdc.conf
[kdcdefaults]
        kdc_ports = 88,750

[realms]
        EXAMPLE.COM= {
                profile = /etc/krb5/krb5.conf
                database_name = /var/krb5/principal
                admin_keytab = /etc/krb5/kadm5.keytab
                acl_file = /etc/krb5/kadm5.acl
                kadmind_port = 749
                max_life = 8h 0m 0s
                max_renewable_life = 7d 0h 0m 0s
                sunw_dbprop_enable = true
#               sunw_dbprop_slave_poll = 2m
                sunw_dbprop_master_ulogsize = 1000
        }

Fügen Sie auf dem neuen Master-KDC der Datei kadmind das Hauptelement kiprop hinzu.

kdc4 # kadmin.local
kadmin.local: ktadd -k /etc/krb5/kadm5.keytab kiprop/kdc4.example.com
Entry for principal kiprop/kdc4.example.com with kvno 3, encryption type AES-256 CTS mode
          with 96-bit SHA-1 HMAC added to keytab WRFILE:/etc/krb5/kadm5.keytab.
Entry for principal kiprop/kdc4.example.com with kvno 3, encryption type AES-128 CTS mode
          with 96-bit SHA-1 HMAC added to keytab WRFILE:/etc/krb5/kadm5.keytab.
Entry for principal kiprop/kdc4.example.com with kvno 3, encryption type Triple DES cbc
          mode with HMAC/sha1 added to keytab WRFILE:/etc/krb5/kadm5.keytab.
Entry for principal kiprop/kdc4.example.com with kvno 3, encryption type ArcFour
          with HMAC/md5 added to keytab WRFILE:/etc/krb5/kadm5.keytab.
Entry for principal kiprop/kdc4.example.com with kvno 3, encryption type DES cbc mode
          with RSA-MD5 added to keytab WRFILE:/etc/krb5/kadm5.keytab.
kadmin.local: quit

Starten Sie auf dem neuen Master-KDC die Dämonen kadmind und krb5kdc.

kdc4 # svcadm enable -r network/security/krb5kdc
kdc4 # svcadm enable -r network/security/kadmin

Fügen Sie auf dem alten Master-KDC das Service-Hauptelement kiprop hinzu.

Durch Hinzufügen des Hauptelements kiprop in der Datei krb5.keytab kann der Dämon kpropd sich für den inkrementellen Weitergabeservice authentifizieren.

kdc1 # /usr/sbin/kadmin -p kws/admin
Authenticating as pricipal kws/admin@EXAMPLE.COM with password.
Enter password: <Type kws/admin password>
kadmin: ktadd kiprop/kdc1.example.com
Entry for principal kiprop/kdc1.example.com with kvno 3, encryption type AES-256 CTS mode
          with 96-bit SHA-1 HMAC added to keytab WRFILE:/etc/krb5/krb5.keytab.
Entry for principal kiprop/kdc1.example.com with kvno 3, encryption type AES-128 CTS mode
          with 96-bit SHA-1 HMAC added to keytab WRFILE:/etc/krb5/krb5.keytab.
Entry for principal kiprop/kdc1.example.com with kvno 3, encryption type Triple DES cbc
          mode with HMAC/sha1 added to keytab WRFILE:/etc/krb5/krb5.keytab.
Entry for principal kiprop/kdc1.example.com with kvno 3, encryption type ArcFour
          with HMAC/md5 added to keytab WRFILE:/etc/krb5/krb5.keytab.
Entry for principal kiprop/kdc1.example.com with kvno 3, encryption type DES cbc mode
          with RSA-MD5 added to keytab WRFILE:/etc/krb5/krb5.keytab.
kadmin: quit

Fügen Sie auf dem alten Master-KDC in der Konfigurationsdatei für die Weitergabe kpropd.acl einen Eintrag für jedes KDC in krb5.conf hinzu.

kdc1 # cat /etc/krb5/kpropd.acl
host/kdc1.example.com@EXAMPLE.COM
host/kdc2.example.com@EXAMPLE.COM
host/kdc3.example.com@EXAMPLE.COM
host/kdc4.example.com@EXAMPLE.COM

Starten Sie auf dem alten Master-KDC die Dämonen kpropd und krb5kdc.
Wenn der Dämon krb5kdc gestartet wird, wird kpropd ebenfalls gestartet, sofern das System als Slave konfiguriert ist.
```
kdc1 # svcadm enable network/security/krb5kdc
```

Navigationslinks �berspringen
Druckansicht beenden
	Systemverwaltungshandbuch: Sicherheitsservices