IBM Network Authentication Service KDC 配置，第 2 部分: 把从 KDC 升级为主 KDC

核心提示： 升级过程中的问题下面是一些常见问题及其处理建议，当有多个从 KDC 时，IBM Network Authentication Service KDC 配置，第 2 部分: 把从 KDC 升级为主 KDC(2)，如何选择把哪个从 KDC 升级为主 KDC？ 选择硬件配置最新、最容易升级的从机

升级过程中的问题

下面是一些常见问题及其处理建议。

当有多个从 KDC 时，如何选择把哪个从 KDC 升级为主 KDC？

选择硬件配置最新、最容易升级的从机器。

选择总体工作负载比较轻的从机器。

选择 IBM NAS 客户机相对比较少的从机器。（提示：通过比较各个客户机的 krb5.conf 文件，寻找配置的客户机比较少的从机器）。

如何尽可能减少主 KDC 的有效停机时间（即在主 KDC 上停止 KDC 并在从 KDC 上启动它之间的时间）？

通过全面理解迁移过程，尽可能减少影响。

在非生产机器（测试单元）中实践以下步骤，以避免在生产单元中造成意外。

如果把主 KDC 迁移到现有的一个从 KDC（在单一主-从设置中），那么建议配置另一个从 KDC， 以便在旧的主 KDC 停机期间处理请求。这可能需要更新域中的 Kerberos 客户机配置文件（/etc/krb5/krb5.conf）。

如何尽可能减少对用户的干扰？

提前公布迁移活动并指出哪些服务会受影响（NFS V4、使用 Kerberos 的 telnet、使用 Kerberos 的 SSH 等等）。

估计停机时间并告之用户，尽可能在计划的时间内完成迁移。留出适当的时间，以应对可能出现的问题。

在成功地迁移之后，仔细地检查新配置，确认新的主 KDC（以及 NFS V4、telnet 等使用 Kerberos 的所有服务）工作正常，然后 再宣布服务恢复运行。

迁移之后，根据需要修改所有 Kerberos 客户机的配置文件。可以使用 IBM NAS 的 “通过 LDAP 发现 KDC” 特性简化此任务。

如何升级

把从 KDC 升级为主 KDC 的过程非常简单，但是需要具备丰富的 Kerberos 管理知识，这样才能理解每个步骤的作用。 在这个迁移示例中，我们将使用本系列 第 1 部分 中使用的 Kerberos 设置。主 KDC（以及 kadmind 服务器）最初在主机 fsaix12.in.ibm.com 上（下面把这台机器称为 “旧的主 KDC”）。从 KDC 在 huntcup.in.ibm.com 上（下面称为 “新的主 KDC”）。当此示例完成时，将在 huntcup.in.ibm.com 上运行主 KDC 和管理服务器。