Kerberos主从设置:数据库传播,以及KDC& KADMIN切换

时间:2015-03-21 13:54:09

标签: linux centos redhat kerberos mit-kerberos

我正在尝试使用从属设备和数据库传播(非增量式)在Redhat上设置Kerberos。我正在浏览麻省理工学院KDC installation and configuration的文档。目前,我有三个疑问/问题:

  1. 我们是否需要在从KDC上运行kpropd,即使我们没有增量传播?

    我启动了xinetd服务,并尝试传播数据库(没有启动kpropd,因为我没有配置增量传播),它给了我一个错误:

    kprop: Connection refused while connecting to server
    

    但是,当我在相同的设置中启动kpropd而没有任何配置更改时,我能够成功传播数据库。

    根据document,它说

      

    [重新]启动inetd守护进程。或者,将kpropd作为独立启动   守护进程。启用增量传播时需要这样做。

    我也通过了麻省理工学院的Troubleshooting page,并且说同样的,即inetd可以运行kprop。

    我的inetd.conf:

    krb5_prop stream tcp nowait root /usr/sbin/kpropd kpropd
    
  2. 我们是否需要在krb5.conf中为slave KDC添加Kerberos Administration Server(admin_server)?或者换句话说,我们可以在krb5.conf中配置多个admin_server属性吗?

    由于我们正在配置主从设置并且可以切换到从KDC,因此可以在任何时间点创建新的主设备。我们还需要在新主服务器上启动Kerberos Administration Server(kadmind)。我们是否需要为krb5.conf文件中列出的管理服务器提供主机?

    我尝试添加两个主机,但事实证明这个属性只选择最后配置的主机。

    我的krb5.conf看起来像:

    [libdefaults]
    default_realm = KRB.MY.DOMAIN
    dns_lookup_realm = false
    dns_lookup_kdc = false
    ticket_lifetime = 1h
    renew_lifetime = 2h
    forwardable = true
    
    [realms]
    KRB.MY.DOMAIN = {
    kdc = old-master-host.my.domain
    kdc = new-master-host.my.domain
    admin_server = old-master-host.my.domain
    admin_server = new-master-host.my.domain
    }
    
    [domain_realm]
    .my.domain = KRB.MY.DOMAIN
    

    在这种情况下,管理服务器只会在new-master-host.my.domain处查看,即使它在old-master-host.my.domain上运行。

  3. 我们可以在从属KDC计算机上启动Kerberos Administration Server,如MIT documentation中所述吗?

    我尝试在我的新主服务器上启动Kerberos Administration Server(kadmind),但我收到错误:

    Error. This appears to be a slave server, found kpropd.acl
    

    不建议在从机上启动管理服务器,还是在启动管理服务器之前必须[重新]移动kpropd.acl文件?

  4. 我真的很感激任何指示或帮助。

1 个答案:

答案 0 :(得分:1)

您的问题的答案:

  1. 是的,您需要在辅助KDC服务器上运行kpropd和krb5kdc服务。
  2. 无需在Master-Secondary KDC设置中设置第二个管理服务器。您可以将krb5.conf和kdc.conf文件从Master KDC复制到Secondary KDC。
  3. 如果您正在运行kpropd服务,则无法在辅助KDC服务器上启动kadmind。
  4. 我已使用此RH文档页面设置Master-Secondary KDC服务器:https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/6/html/Managing_Smart_Cards/Configuring_a_Kerberos_5_Server.html