我正在尝试使用从属设备和数据库传播(非增量式)在Redhat上设置Kerberos。我正在浏览麻省理工学院KDC installation and configuration的文档。目前,我有三个疑问/问题:
我们是否需要在从KDC上运行kpropd,即使我们没有增量传播?
我启动了xinetd服务,并尝试传播数据库(没有启动kpropd,因为我没有配置增量传播),它给了我一个错误:
kprop: Connection refused while connecting to server
但是,当我在相同的设置中启动kpropd而没有任何配置更改时,我能够成功传播数据库。
根据document,它说
[重新]启动inetd守护进程。或者,将kpropd作为独立启动 守护进程。启用增量传播时需要这样做。
我也通过了麻省理工学院的Troubleshooting page,并且说同样的,即inetd可以运行kprop。
我的inetd.conf:
krb5_prop stream tcp nowait root /usr/sbin/kpropd kpropd
我们是否需要在krb5.conf中为slave KDC添加Kerberos Administration Server(admin_server)?或者换句话说,我们可以在krb5.conf中配置多个admin_server属性吗?
由于我们正在配置主从设置并且可以切换到从KDC,因此可以在任何时间点创建新的主设备。我们还需要在新主服务器上启动Kerberos Administration Server(kadmind)。我们是否需要为krb5.conf文件中列出的管理服务器提供主机?
我尝试添加两个主机,但事实证明这个属性只选择最后配置的主机。
我的krb5.conf看起来像:
[libdefaults]
default_realm = KRB.MY.DOMAIN
dns_lookup_realm = false
dns_lookup_kdc = false
ticket_lifetime = 1h
renew_lifetime = 2h
forwardable = true
[realms]
KRB.MY.DOMAIN = {
kdc = old-master-host.my.domain
kdc = new-master-host.my.domain
admin_server = old-master-host.my.domain
admin_server = new-master-host.my.domain
}
[domain_realm]
.my.domain = KRB.MY.DOMAIN
在这种情况下,管理服务器只会在new-master-host.my.domain处查看,即使它在old-master-host.my.domain上运行。
我们可以在从属KDC计算机上启动Kerberos Administration Server,如MIT documentation中所述吗?
我尝试在我的新主服务器上启动Kerberos Administration Server(kadmind),但我收到错误:
Error. This appears to be a slave server, found kpropd.acl
不建议在从机上启动管理服务器,还是在启动管理服务器之前必须[重新]移动kpropd.acl文件?
我真的很感激任何指示或帮助。
答案 0 :(得分:1)
您的问题的答案:
我已使用此RH文档页面设置Master-Secondary KDC服务器:https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/6/html/Managing_Smart_Cards/Configuring_a_Kerberos_5_Server.html