Настройка Kerberos master-slave: распространение базы данных и переключение KDC и KADMIN

Я пытаюсь настроить Kerberos на Redhat с ведомыми устройствами и распространением базы данных (не инкрементным). Я просматриваю документацию MIT по установке и настройке KDC. . В настоящее время у меня есть три сомнения/проблемы:

  1. #P2# #P3# 
    kprop: Connection refused while connecting to server
    #P4# #P5#
    #P6#
    #P7# #P8# 
    krb5_prop stream tcp nowait root /usr/sbin/kpropd kpropd

  2. Нужно ли нам добавить сервер администрирования Kerberos (admin_server) для подчиненного KDC в krb5.conf? ИЛИ Другими словами, можем ли мы настроить более одного свойства admin_server в krb5.conf?

    Поскольку мы настраиваем установку ведущий-подчиненный и можем переключиться на подчиненный KDC, создав его новым ведущим в любой момент времени. Нам также потребуется запустить сервер администрирования Kerberos (kadmind) на новом мастере. Нужно ли нам иметь хосты для обоих серверов администрирования, перечисленных в файле krb5.conf?

    Я попытался добавить оба хоста, но оказалось, что это свойство выбирает только последний настроенный.

    Мой krb5.conf выглядит так:

    [libdefaults]
default_realm = KRB.MY.DOMAIN
dns_lookup_realm = false
dns_lookup_kdc = false
ticket_lifetime = 1h
renew_lifetime = 2h
forwardable = true

[realms]
KRB.MY.DOMAIN = {
kdc = old-master-host.my.domain
kdc = new-master-host.my.domain
admin_server = old-master-host.my.domain
admin_server = new-master-host.my.domain
}

[domain_realm]
.my.domain = KRB.MY.DOMAIN

    В таком случае сервер администратора будет просматриваться только на new-master-host.my.domain, даже если он запущен на old-master-host.my.domain.

  3. Можем ли мы запустить сервер администрирования Kerberos на подчиненном компьютере KDC, как указано в документация MIT?

    Я попытался запустить сервер администрирования Kerberos (kadmind) на моем новом мастере и получил ошибку:

    Error. This appears to be a slave server, found kpropd.acl

    Не рекомендуется ли запускать Сервер администрирования на подчиненной машине или нам нужно [пере]переместить файл kpropd.acl, прежде чем мы сможем запустить Сервер администрирования?

Я был бы очень признателен за любые указатели или помощь.


linux centos kerberos redhat mit-kerberos
person Harman    schedule 21.03.2015    source источник

Ответы (1)


arrow_upward
1
arrow_downward

Ответы на ваши вопросы:

  1. Да, вам нужно, чтобы службы kpropd и krb5kdc работали на вторичном сервере KDC.
  2. Нет необходимости настраивать второй сервер администратора в настройке Master-Secondary KDC. Вы можете скопировать файлы krb5.conf и kdc.conf из главного KDC во вторичный KDC.
  3. Вы не можете запустить kadmind на вторичном сервере KDC, если у вас запущена служба kpropd.

Я использовал эту страницу документации RH для настройки серверов Master-Secondary KDC: ="nofollow">https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/6/html/Managing_Smart_Cards/Configuring_a_Kerberos_5_Server.html

person id268    schedule 06.08.2015
comment
Я делаю аналогичную настройку, но в моей CentOS нет настройки демона inetd. Подскажите, пожалуйста, как настроить и запустить демон inetd? Я застрял в ручном распространении базы данных на ведомый KDC - person earl; 28.12.2017
comment
Ручное распространение базы данных на подчиненный KDC дает мне ошибку: kprop: клиент не найден в базе данных Kerberos при получении начальных учетных данных. - person earl; 28.12.2017
comment
@earl извиняется за то, что комментарий приходит довольно поздно, но да, вы можете очень хорошо запустить kprop. Все, что вам нужно, это добавить два хоста в KDC, а затем создать их таблицы ключей и сохранить их в /etc/krb5.keytab. - person Harman; 09.09.2018