《kerberos_主从配置》由会员分享,可在线阅读,更多相关《kerberos_主从配置(5页珍藏版)》请在金锄头文库上搜索。
1、Kerberos 主从配置主 k e r b e r o s1 9 2 . 1 6 8 . 1 1 6 . 1 2 9从 k e r b e r o s1 9 2 . 1 6 8 . 1 1 6 . 1 3 7K r b 5 k d cK a d m i nk p r o p d在 m a s t e r 上 通 过 以 下 命 令 同 步 数 据 :K d b 5 _ u t i l d u m p / v a r / k e r b e r o s / k r b 5 k d c / s l a v e _ d a t a t r a n sk p r o p - f / v a r /
2、k e r b e r o s / k r b 5 k d c / s l a v e _ d a t a t r a n s k e r b e r o s 2 . e x a m p l e . c o m(一)环境:名称 版本CentOS CentOS release 5.4 (Final)Kerberos krb5-devel-1.6.1-70.el5krb5-libs-1.6.1-70.el5krb5-server-1.6.1-70.el5pam_krb5-2.2.14-10krb5-devel-1.6.1-70.el5pam_krb5-2.2.14-10krb5-workstati
3、on-1.6.1-70.el5krb5-libs-1.6.1-70.el5名称 作用192.168.116.129 Kerberos master192.168.116.137 Kerberos slave(二)配置1)主机名称配置在 master 和 slave 服务器上添加主机名称及对应的域名# vim /etc/hosts192.168.116.129 kerberos192.168.116.129 kdc192.168.116.137 kerberos22)master 配置-从初始化安装开始/etc/krb5.confloggingdefault = FILE:/var/log
4、/krb5libs.log kdc = FILE:/var/log/krb5kdc.logadmin_server = FILE:/var/log/kadmind.loglibdefaultsdefault_realm = EXAMPLE.COMdns_lookup_realm = falsedns_lookup_kdc = falseticket_lifetime = 24hforwardable = yesrealmsEXAMPLE.COM = kdc = :88kdc = :88admin_server = :749default_domain = domain_ = EXAMPLE.C
5、OM = EXAMPLE.COMappdefaultspam = debug = falseticket_lifetime = 36000renew_lifetime = 36000forwardable = truekrb4_convert = false/var/kerberos/krb5kdc/kdc.confkdcdefaultsv4_mode = nopreauthkdc_tcp_ports = 88realmsEXAMPLE.COM = master_key_type = aes256-cts acl_file = /var/kerberos/krb5kdc/kadm5.acldi
6、ct_file = /usr/share/dict/wordsadmin_keytab = /var/kerberos/krb5kdc/kadm5.keytabsupported_enctypes = aes256-cts:normal aes128-cts:normal des3-hmac-sha1:normal arcfour-hmac:normal des-hmac-sha1:normaldes-cbc-md5:normal des-cbc-crc:normal des-cbc-crc:v4 des-cbc-crc:afs3 3)生成 master 服务器上的 kdc databaser
7、ootkerberos # kdb5_util create -r EXAMPLE.COM -s将在/var/kerberos/krb5kdc/目录下生成多个文件,相关生成文件的说明为:4)master 服务器上,添加 admin 用户rootkerberos # kadmin.localKadmin.local: addprinc admin/adminEXAMPLE.com5)启动 kdc 服务 和 kadmin 服务rootkerberos # service krb5kdc startrootkerberos # service kadmin start6)使用 kinit 命令,测试
8、 admin 账户是否生成成功rootkerberos # kinit admin/adminEXAMPLE.COM7)安装 slave KDC 的相关配置(7-1)创建 host keytab 文件在 master 服务器上rootkerberos # kadminkadmin: addprinc -randkey host/ #添加 principalkadmin:ktadd host/ #生成 keytab 文件在 slave 服务器上rootkerberos2 # kadminkadmin: addprinc -randkey host/ #添加principalkadmin: kta
9、dd host/ #生成 keytab 文件(7-2)将 master 上的几个文件拷贝到从服务器,文件: krb5.conf、kdc.conf、kadmin5.acl、master key stash filerootkerberos # scp /etc/krb5.conf kerberos2:/etc/.rootkerberos # cd /var/kerberos/krb5kdcrootkerberos # scp kdc.conf kadmin5.acl .k5.EXAMPLE.COM Kerberos2:/var/kerberos/krb5kdc/.(7-3)在 slave 服务器
10、上创建 kpropd.acl 文件rootkerberos2 # touch /var/kerberos/krb5kdc/kpropd.acl添加如下内容:host/EXAMPLE.COMhost/EXAMPLE.COM(7-4)在 slave 上启动 kpropd 服务rootkerberos2 # kpropd S至此,slave 上的 kdc 服务还不能启动,因为无 kdc 的 database 数据8)在 master 上将相关数据同步到 slave 上rootkerberos #kdb5_util dump /var/kerberos/krb5kdc/slave_datatransr
11、ootkerberos #kprop -f /var/kerberos/krb5kdc/slave_datatrans 成功后,会出现以下信息:Database propagation to : SUCCEEDED以上命令,可以封装成一个 bash,定时运行,即定时更新 slave 上的 database。9)slave 上/var/kerberos/krb5kdc/会多出一些文件,如:from_master、principal、pricipal.kadm5、principal.kadmin5.lock、principal.ok10)至此,可以启动 slave 上的 kdc 服务(三)测试主从
12、是否生效1)从第三台服务器,使用 kinit 获取 ticket,正常情况下会从 master 上获取2)关闭 master 上的 kdc 服务3)再次从第三台服务器上,使用 kinit 获取 ticket,如果成功,说明生效。也可以观察 kdc 的日志,在 /var/log/krb5kdc.log当有多台 slave 时,定时更新脚本可以这样:#!/bin/shkdclist = kdb5_util dump /var/kerberos/krb5kdc/slave_datatransfor kdc in $kdclistdokprop -f /var/kerberos/krb5kdc/slave_datatrans $kdcdone参考文档:http:/web.mit.edu/kerberos/krb5-current/doc/krb_admins/install_kdc.html
