Sauvegarde et propagation de la base de données Kerberos
La propagation de la base de données Kerberos du KDC maître aux KDC esclaves est l'une des tâches de configuration les plus importantes. Si la propagation n'est pas suffisamment fréquente, la synchronisation entre le KDC maître et les KDC esclaves est perdue. Par conséquent, en cas de défaillance du KDC maître, les KDC esclaves n'auront pas les informations de base de données les plus récentes. En outre, si un KDC esclave a été configuré en tant que KDC maître à des fins d'équilibrage de charge, les clients qui utilisent le KDC esclave en tant que KDC maître ne disposeront pas des dernières informations.
Assurez-vous que la propagation est suffisamment fréquente ou configurez les serveurs pour une propagation incrémentielle, en fonction de la fréquence à laquelle vous modifiez la base de données Kerberos. La propagation incrémentielle est préférable à d'autres méthodes de propagation. Une propagation manuelle de la base de données exige la propagation complète élimine les frais d'administration liés évacués ne fonctionne pas et.
 | Mise en garde - Pour éviter les pertes de données, vous devez propager manuellement la base de données si vous ajoutez des mises à jour importantes de la base de données Kerberos avant une propagation programmée. |
Fichier kpropd.acl
Le fichier kpropd.acl sur un KDC esclave fournit une liste de noms d'hôte principal, un nom par ligne, qui spécifie les systèmes à partir desquels le KDC peut recevoir une base de données mise à jour par la propagation. Si le KDC maître est utilisé pour propager tous les KDC esclaves, le fichier kpropd.acl sur chaque esclave doit contenir uniquement le nom d'hôte principal du KDC maître.
Toutefois, l'installation Kerberos et les étapes de configuration suivantes décrites dans ce guide vous indiquent que vous devez ajouter le même fichier kpropd.acl sur le KDC maître et les KDC esclaves. Ce fichier contient tous les noms de principaux d'hôtes KDC. Cette configuration vous permet de propager à partir de n'importe quel KDC, dans le cas où la propagation des KDC serait temporairement indisponible. La copie identique sur tous les KDC facilite la maintenance.
Commande kprop_script
La commande kprop_script utilise la commande kprop pour propager la base de données Kerberos à d'autres KDC. Si la commande kprop_script est exécutée sur un KDC esclave, elle se propage à la copie de la base de données Kerberos du KDC esclave vers d'autres KDC. La commande kprop_script accepte une liste de noms d'hôte pour les arguments, séparés par des espaces, qui indiquent les KDC à propager.
Quand kprop_script est exécutée, elle crée une copie de sauvegarde de la base de données Kerberos pour le fichier /var/krb5/slave_datatrans et copie le fichier dans les KDC spécifiés. La base de données Kerberos est verrouillée jusqu'à ce que la propagation soit terminée.
Sauvegarde de la base de données Kerberos
Lorsque vous configurez le KDC maître, vous configurez la commande kprop_script dans une tâche cron pour sauvegarder automatiquement la base de données Kerberos dans le fichier dump /var/krb5/slave_datatrans et la propager vers les KDC esclaves. Mais, comme avec n'importe quel fichier, la base de données Kerberos peut être altérée. N'est pas un problème d'endommagement des données sur un serveur esclave KDC, étant donné que la propagation automatique suivante de la base de données permet d'installer une nouvelle copie. Toutefois, si l'altération se produit sur le KDC maître, la base de données altérée est propagée à l'ensemble des KDC esclaves pendant la propagation suivante. La sauvegarde altérée remplace également le fichier de sauvegarde non altéré précédent sur le KDC maître.
Configurez un travail cron pour copier à intervalles réguliers le fichier de vidage slave_datatrans sur un autre emplacement ou pour créer une autre copie de sauvegarde séparée en utilisant la commande dump de kdb5_utilafin de vous protéger contre ce scénario. Puis, si votre base de données est endommagée, vous pouvez restaurer la sauvegarde la plus récente sur le KDC maître en utilisant la commande load de kdb5_util.
Autre remarque importante : puisque le fichier dump de la base de données contient les clés de principal, vous devez protéger le fichier de tout accès par des utilisateurs non autorisés. Par défaut, la base de données du fichier de vidage dispose d'autorisations de lecture et d'écriture uniquement en tant que root. Afin de les protéger contre tout accès non autorisé, propagez le fichier de vidage de la base de données avec la commandekprop, étant donné que cette commande chiffre les données en cours de transfert. En outre, kprop propage les données uniquement aux KDC esclaves, ce qui réduit les risques d'envoi par inadvertance du fichier dump de la base de données à des hôtes non autorisés.
Exemple 4-13 Sauvegarde manuelle de la base de données KerberosVous utilisez la commande dump de la commande kdb5_util pour sauvegarder la base de données. Exécutez cette commande dans un répertoire qui appartient à l'utilisateur root.
# /usr/sbin/kdb5_util dump
Dans l'exemple suivant, la base de données Kerberos est sauvegardée dans un fichier appelé dumpfile. Dans la mesure où l'option –verbose est spécifiée, chaque principal est imprimé lorsqu'il est sauvegardé. Aucune identité utilisateur sont indiquées, car l'intégralité de la base de données est sauvegardé.
# kdb5_util dump -verbose /var/user/kadmin/dumpfile kadmin/kdc1.corp.example.com@CORP.EXAMPLE.COM krbtgt/CORP.EXAMPLE.COM@CORP.EXAMPLE.COM kadmin/history@CORP.EXAMPLE.COM pak/admin@CORP.EXAMPLE.COM pak@CORP.EXAMPLE.COM changepw/kdc1.corp.example.com@CORP.EXAMPLE.COM
Dans l'exemple suivant, le vidage contient uniquement les principaux pak et pak/admin.
# kdb5_util dump -verbose pakfile pak/admin@CORP.EXAMPLE.COM pak@CORP.EXAMPLE.COM pak/admin@CORP.EXAMPLE.COM pak@CORP.EXAMPLE.COM
Pour plus d'informations, reportez-vous à la page de manuel kdb5_util(1M).