Kerberos 主从设置:数据库传播,以及 KDC 和 KADMIN 切换
Kerberos master-slave setup : Database propagation, and KDC & KADMIN switching
我正在尝试使用从属和数据库传播(不是增量)在 Redhat 上设置 Kerberos。我正在浏览麻省理工学院 KDC installation and configuration 的文档。目前,我有三个 doubts/issues:
我们是否需要在从 KDC 上使用 kpropd 运行ning,即使我们没有增量传播?
我启动了 xinetd 服务,并尝试传播数据库(没有启动 kpropd,因为我没有配置增量传播),它给了我一个错误:
kprop: Connection refused while connecting to server
但是,当我在相同的设置中启动 kpropd 且没有任何配置更改时,我能够成功传播数据库。
根据 document,它说
[Re]start inetd daemon. Alternatively, start kpropd as a stand-alone
daemon. This is required when incremental propagation is enabled.
我也看了麻省理工学院的Troubleshooting page,它也是这么说的,即inetd can 运行 kprop.
我的inetd.conf:
krb5_prop stream tcp nowait root /usr/sbin/kpropd kpropd
我们是否需要为 krb5.conf 中的从 KDC 添加 Kerberos 管理服务器 (admin_server)?或者换句话说,我们可以在 krb5.conf 中配置多个 admin_server 属性吗?
由于我们正在配置主从设置,并且可以切换到从 KDC,从而在任何时间点创建一个新的主 KDC。我们还需要在新主服务器上启动 Kerberos 管理服务器 (kadmind)。我们是否需要为 krb5.conf 文件中列出的两个管理服务器提供主机?
我尝试添加两台主机,但结果 属性 只选择了最后配置的主机。
我的 krb5.conf 看起来像:
[libdefaults]
default_realm = KRB.MY.DOMAIN
dns_lookup_realm = false
dns_lookup_kdc = false
ticket_lifetime = 1h
renew_lifetime = 2h
forwardable = true
[realms]
KRB.MY.DOMAIN = {
kdc = old-master-host.my.domain
kdc = new-master-host.my.domain
admin_server = old-master-host.my.domain
admin_server = new-master-host.my.domain
}
[domain_realm]
.my.domain = KRB.MY.DOMAIN
在这种情况下,管理服务器将仅在 new-master-host.my.domain
上查看,即使它在 old-master-host.my.domain
上 运行ning。
我们能否在从属 KDC 机器上启动 Kerberos 管理服务器,如 MIT documentation 中所指定?
我尝试在我的新主机上启动 Kerberos 管理服务器 (kadmind),但出现错误:
Error. This appears to be a slave server, found kpropd.acl
是否不建议在从机上启动管理服务器,或者我们是否必须在启动管理服务器之前[重新]移动kpropd.acl文件?
非常感谢任何指点或帮助。
您问题的答案:
- 是的,您需要在辅助 KDC 服务器上安装 kpropd 和 krb5kdc 服务运行。
- 无需在主从 KDC 设置中设置第二个管理服务器。您可以将 krb5.conf 和 kdc.conf 文件从主 KDC 复制到辅助 KDC。
- 如果您有 kpropd 服务,则无法在辅助 KDC 服务器上启动 kadmind 运行。
我已使用此 RH 文档页面设置主从 KDC 服务器:https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/6/html/Managing_Smart_Cards/Configuring_a_Kerberos_5_Server.html
我正在尝试使用从属和数据库传播(不是增量)在 Redhat 上设置 Kerberos。我正在浏览麻省理工学院 KDC installation and configuration 的文档。目前,我有三个 doubts/issues:
我们是否需要在从 KDC 上使用 kpropd 运行ning,即使我们没有增量传播?
我启动了 xinetd 服务,并尝试传播数据库(没有启动 kpropd,因为我没有配置增量传播),它给了我一个错误:
kprop: Connection refused while connecting to server
但是,当我在相同的设置中启动 kpropd 且没有任何配置更改时,我能够成功传播数据库。
根据 document,它说
[Re]start inetd daemon. Alternatively, start kpropd as a stand-alone daemon. This is required when incremental propagation is enabled.
我也看了麻省理工学院的Troubleshooting page,它也是这么说的,即inetd can 运行 kprop.
我的inetd.conf:
krb5_prop stream tcp nowait root /usr/sbin/kpropd kpropd
我们是否需要为 krb5.conf 中的从 KDC 添加 Kerberos 管理服务器 (admin_server)?或者换句话说,我们可以在 krb5.conf 中配置多个 admin_server 属性吗?
由于我们正在配置主从设置,并且可以切换到从 KDC,从而在任何时间点创建一个新的主 KDC。我们还需要在新主服务器上启动 Kerberos 管理服务器 (kadmind)。我们是否需要为 krb5.conf 文件中列出的两个管理服务器提供主机?
我尝试添加两台主机,但结果 属性 只选择了最后配置的主机。
我的 krb5.conf 看起来像:
[libdefaults] default_realm = KRB.MY.DOMAIN dns_lookup_realm = false dns_lookup_kdc = false ticket_lifetime = 1h renew_lifetime = 2h forwardable = true [realms] KRB.MY.DOMAIN = { kdc = old-master-host.my.domain kdc = new-master-host.my.domain admin_server = old-master-host.my.domain admin_server = new-master-host.my.domain } [domain_realm] .my.domain = KRB.MY.DOMAIN
在这种情况下,管理服务器将仅在
new-master-host.my.domain
上查看,即使它在old-master-host.my.domain
上 运行ning。我们能否在从属 KDC 机器上启动 Kerberos 管理服务器,如 MIT documentation 中所指定?
我尝试在我的新主机上启动 Kerberos 管理服务器 (kadmind),但出现错误:
Error. This appears to be a slave server, found kpropd.acl
是否不建议在从机上启动管理服务器,或者我们是否必须在启动管理服务器之前[重新]移动kpropd.acl文件?
非常感谢任何指点或帮助。
您问题的答案:
- 是的,您需要在辅助 KDC 服务器上安装 kpropd 和 krb5kdc 服务运行。
- 无需在主从 KDC 设置中设置第二个管理服务器。您可以将 krb5.conf 和 kdc.conf 文件从主 KDC 复制到辅助 KDC。
- 如果您有 kpropd 服务,则无法在辅助 KDC 服务器上启动 kadmind 运行。
我已使用此 RH 文档页面设置主从 KDC 服务器:https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/6/html/Managing_Smart_Cards/Configuring_a_Kerberos_5_Server.html