交换主 KDC 服务器与从 KDC 服务器

使用本节中的过程可以使交换主 KDC 服务器与从 KDC 服务器的任务更轻松。仅当主 KDC 服务器由于某种原因出现故障，或者需要重新安装主 KDC 服务器（例如，由于安装了新硬件）时，才应将主 KDC 服务器与从 KDC 服务器进行交换。

如何配置可交换的从 KDC 服务器

在您希望成为主 KDC 服务器的从 KDC 服务器上执行此过程。该过程假定使用了增量传播。

开始之前

您必须承担 root 角色。有关更多信息，请参见如何使用指定给您的管理权限。

在安装 KDC 过程中，使用主 KDC 服务器和可交换从 KDC 服务器的别名。
定义 KDC 的主机名时，请确保 DNS 中包含每个系统的别名。此外，在 /etc/krb5/krb5.conf 文件中定义主机时也应使用别名。
逐步骤完成从 KDC 服务器安装。
在进行任何交换之前，该服务器应该充当领域中的任何其他从 KDC 服务器。有关说明，请参见如何手动配置从 KDC 服务器。

移动主 KDC 服务器命令。

要禁止从该从 KDC 服务器运行主 KDC 服务器命令，请将 kprop、kadmind 和 kadmin.local 命令移到一个保留位置。

kdc4 # mv /usr/lib/krb5/kprop /usr/lib/krb5/kprop.save
kdc4 # mv /usr/lib/krb5/kadmind /usr/lib/krb5/kadmind.save
kdc4 # mv /usr/sbin/kadmin.local /usr/sbin/kadmin.local.save

如何交换主 KDC 服务器与从 KDC 服务器

在此过程中，要交换出来的主 KDC 服务器名为 kdc1。将成为新的主 KDC 服务器的从 KDC 服务器名为 kdc4。该过程假定使用了增量传播。

开始之前

此过程要求已将从 KDC 服务器设置为可交换的从 KDC 服务器。有关更多信息，请参见如何配置可交换的从 KDC 服务器。

您必须承担 root 角色。有关更多信息，请参见如何使用指定给您的管理权限。

在新的主 KDC 服务器上，启动 kadmin。

kdc4 # /usr/sbin/kadmin -p kws/admin
Enter password: <Type kws/admin password>
kadmin:

为 kadmind 服务创建新的主体。

以下示例中将第一个 addprinc 命令显示为两行，但实际上应在同一行中键入该命令。

kadmin: addprinc -randkey -allow_tgs_req +password_changing_service -clearpolicy \
       changepw/kdc4.example.com
Principal "changepw/kdc4.example.com@ENG.SUN.COM" created.
kadmin: addprinc -randkey -allow_tgs_req -clearpolicy kadmin/kdc4.example.com
Principal "kadmin/kdc4.example.com@EXAMPLE.COM" created.
kadmin:

退出 kadmin。
```
kadmin: quit
```

在新的主 KDC 服务器上，强制执行同步。
以下步骤将在从服务器上强制执行完全 KDC 更新。
```
kdc4 # svcadm disable network/security/krb5kdc
kdc4 # rm /var/krb5/principal.ulog
```
在新的主 KDC 服务器上，确认更新是否完成。
```
kdc4 # /usr/sbin/kproplog -h
```
在新的主 KDC 服务器上，重新启动 KDC 服务。
```
kdc4 # svcadm enable -r network/security/krb5kdc
```
在新的主 KDC 服务器上，清除更新日志。
这些步骤将重新初始化新的主 KDC 服务器的更新日志。
```
kdc4 # svcadm disable network/security/krb5kdc
kdc4 # rm /var/krb5/principal.ulog
```
在旧的主 KDC 服务器上，中止 kadmind 和 krb5kdc 进程。
中止 kadmind 进程可防止对 KDC 数据库进行任何更改。
```
kdc1 # svcadm disable network/security/kadmin
kdc1 # svcadm disable network/security/krb5kdc
```

在旧的主 KDC 服务器上，指定请求传播的轮询时间。

注释掉 /etc/krb5/kdc.conf 中的 sunw_dbprop_master_ulogsize 项，并添加定义 sunw_dbprop_slave_poll 的项。该项将轮询时间设为两分钟。

kdc1 # cat /etc/krb5/kdc.conf
[kdcdefaults]
        kdc_ports = 88,750

[realms]
        EXAMPLE.COM= {
                profile = /etc/krb5/krb5.conf
                database_name = /var/krb5/principal
                acl_file = /etc/krb5/kadm5.acl
                kadmind_port = 749
                max_life = 8h 0m 0s
                max_renewable_life = 7d 0h 0m 0s
                sunw_dbprop_enable = true
#               sunw_dbprop_master_ulogsize = 1000
                sunw_dbprop_slave_poll = 2m
        }

在旧的主 KDC 服务器上，移动主 KDC 服务器命令和 kadm5.acl 文件。

要禁止运行主 KDC 服务器命令，请将 kprop、kadmind 和 kadmin.local 命令移到一个保留位置。

kdc1 # mv /usr/lib/krb5/kprop /usr/lib/krb5/kprop.save
kdc1 # mv /usr/lib/krb5/kadmind /usr/lib/krb5/kadmind.save
kdc1 # mv /usr/sbin/kadmin.local /usr/sbin/kadmin.local.save
kdc1 # mv /etc/krb5/kadm5.acl /etc/krb5/kadm5.acl.save

在 DNS 服务器上，更改主 KDC 服务器的别名。
要更改服务器，请编辑 example.com 区域文件并更改 masterkdc 的项。
```
masterkdc IN CNAME kdc4
```
在 DNS 服务器上，重新启动 Internet 域名服务器。
运行以下命令以重新装入新的别名信息：
```
# svcadm refresh network/dns/server
```

在新的主 KDC 服务器上，移动主 KDC 服务器命令和从 kpropd.acl 文件。

kdc4 # mv /usr/lib/krb5/kprop.save /usr/lib/krb5/kprop
kdc4 # mv /usr/lib/krb5/kadmind.save /usr/lib/krb5/kadmind
kdc4 # mv /usr/sbin/kadmin.local.save /usr/sbin/kadmin.local
kdc4 # mv /etc/krb5/kpropd.acl /etc/krb5/kpropd.acl.save

在新的主 KDC 服务器上，创建 Kerberos 访问控制列表文件 (kadm5.acl)。
填充后，/etc/krb5/kadm5.acl 文件应包含所有获许管理 KDC 的主体名称。该文件还应列出请求增量传播的所有从 KDC 服务器。有关更多信息，请参见 kadm5.acl(4) 手册页。
```
kdc4 # cat /etc/krb5/kadm5.acl
kws/admin@EXAMPLE.COM   *
kiprop/kdc1.example.com@EXAMPLE.COM p
```

在新的主 KDC 服务器上，在 kdc.conf 文件中指定更新日志大小。

注释掉 sunw_dbprop_slave_poll 项，并添加定义 sunw_dbprop_master_ulogsize 的项。该项将日志大小设置为 1000 个项。

kdc1 # cat /etc/krb5/kdc.conf
[kdcdefaults]
        kdc_ports = 88,750

[realms]
        EXAMPLE.COM= {
                profile = /etc/krb5/krb5.conf
                database_name = /var/krb5/principal
                acl_file = /etc/krb5/kadm5.acl
                kadmind_port = 749
                max_life = 8h 0m 0s
                max_renewable_life = 7d 0h 0m 0s
                sunw_dbprop_enable = true
#               sunw_dbprop_slave_poll = 2m
                sunw_dbprop_master_ulogsize = 1000
        }

在新的主 KDC 服务器上，启动 kadmind 和 krb5kdc。

kdc4 # svcadm enable -r network/security/krb5kdc
kdc4 # svcadm enable -r network/security/kadmin

在旧的主 KDC 服务器上，添加 kiprop 服务主体。

通过将 kiprop 主体添加到 krb5.keytab 文件，允许 kpropd 守护进程对自身进行增量传播服务验证。

kdc1 # /usr/sbin/kadmin -p kws/admin
Authenticating as pricipal kws/admin@EXAMPLE.COM with password.
Enter password: <Type kws/admin password>
kadmin: ktadd kiprop/kdc1.example.com
Entry for principal kiprop/kdc1.example.com with kvno 3, encryption type AES-256 CTS mode
          with 96-bit SHA-1 HMAC added to keytab WRFILE:/etc/krb5/krb5.keytab.
Entry for principal kiprop/kdc1.example.com with kvno 3, encryption type AES-128 CTS mode
          with 96-bit SHA-1 HMAC added to keytab WRFILE:/etc/krb5/krb5.keytab.
Entry for principal kiprop/kdc1.example.com with kvno 3, encryption type Triple DES cbc
          mode with HMAC/sha1 added to keytab WRFILE:/etc/krb5/krb5.keytab.
Entry for principal kiprop/kdc1.example.com with kvno 3, encryption type ArcFour
          with HMAC/md5 added to keytab WRFILE:/etc/krb5/krb5.keytab.
Entry for principal kiprop/kdc1.example.com with kvno 3, encryption type DES cbc mode
          with RSA-MD5 added to keytab WRFILE:/etc/krb5/krb5.keytab.
kadmin: quit

在旧的主 KDC 服务器上，将 krb5.conf 中列出的每个 KDC 的项添加到传播配置文件 kpropd.acl 中。

kdc1 # cat /etc/krb5/kpropd.acl
host/kdc1.example.com@EXAMPLE.COM
host/kdc2.example.com@EXAMPLE.COM
host/kdc3.example.com@EXAMPLE.COM
host/kdc4.example.com@EXAMPLE.COM

在旧的主 KDC 服务器上，启动 kpropd 和 krb5kdc。

kdc1 # svcadm enable -r network/security/krb5_prop
kdc1 # svcadm enable -r network/security/krb5kdc

跳过导航链接
退出打印视图
	Oracle Solaris 11.1 管理：安全服务 Oracle Solaris 11.1 Information Library (简体中文)