配置 KDC 服务器

安装 Kerberos 软件之后，必须配置密钥分发中心 (Key Distribution Center, KDC) 服务器。配置主 KDC 服务器和至少一个从 KDC 服务器来提供颁发凭证的服务。这些凭证是 Kerberos 服务的基础，因此必须先配置 KDC 然后再尝试执行其他任务。

主 KDC 服务器与从 KDC 服务器之间最大的差别是，只有主 KDC 服务器可以处理数据库管理请求。例如，更改口令或添加新主体必须在主 KDC 服务器上完成。然后可以将这些更改传播到从 KDC 服务器。从 KDC 服务器和主 KDC 服务器都可以生成凭证。从 KDC 服务器可在主 KDC 服务器无法响应时提供冗余性。

可以选择通过以下多种方法配置并构建主 KDC 服务器、数据库和其他服务器：

• 自动－建议用于脚本

• 交互式－可满足大多数安装的要求

• 手动－执行较为复杂的安装时需要

• 手动加 LDAP－将 LDAP 与 KDC 配合使用时需要

表 4-3  配置 KDC 服务器任务列表

任务 说明 有关说明 安装 KDC 软件包。 创建 KDC 所必需的软件包。 如何安装 KDC 软件包 （可选）配置 Kerberos 以 FIPS 140 模式运行。 设置为只使用 FIPS 140 验证算法。 如何配置 Kerberos 以 FIPS 140 模式运行 使用脚本配置主 KDC。 简化初始配置。 如何使用 kdcmgr 配置主 KDC Example 4–1 使用脚本配置从 KDC 服务器。 简化初始配置。 如何使用 kdcmgr 配置从 KDC 手动配置主 KDC 服务器。 在初始安装期间可控制 KDC 配置文件中的每个项。 如何手动配置主 KDC 服务器 手动配置从 KDC 服务器。 在初始安装期间可控制 KDC 配置文件中的每个项。 如何手动配置从 KDC 服务器 手动将主 KDC 配置为使用 LDAP。 将主 KDC 服务器配置为使用 LDAP。 如何将主 KDC 配置为使用 LDAP 目录服务器 替换 KDC 服务器上的主体密钥。 更新传统 KDC 服务器上的会话密钥，以使用更强的加密类型。 替换主服务器上的票证授予服务密钥