IBM Network Authentication Service KDC 配置，第 2 部分: 把从 KDC 升级为主 KDC

核心提示： 在旧的主 KDC 上，最后一次手工运行数据库传播脚本，IBM Network Authentication Service KDC 配置，第 2 部分: 把从 KDC 升级为主 KDC(5)，从而确保从 KDC 上的数据库拷贝是最新的，关于数据库传播脚本及如何手工运行它的详细信息，在成功升

在旧的主 KDC 上，最后一次手工运行数据库传播脚本，从而确保从 KDC 上的数据库拷贝是最新的。关于数据库传播脚本及如何手工运行它的详细信息，请参见本系列的 第 1 部分。下面是执行此步骤的命令和输出：-bash-2.05b# hostname
fsaix12.in.ibm.com
-bash-2.05b# cat prop_krb5_database.sh
#!/bin/sh
KDCLIST="huntcup.in.ibm.com"
DUMP_FILE="/var/krb5/krb5kdc/krb5_dump"
/usr/krb5/sbin/kdb5_util dump $DUMP_FILE
for kdc in $KDCLIST
do
　/usr/krb5/sbin/kprop -f $DUMP_FILE $kdc
done
-bash-2.05b# ./prop_krb5_database.sh
Database propagation to huntcup.in.ibm.com: SUCCEEDED
-bash-2.05b#

在旧的主 KDC 上，编辑 /etc/krb5/krb5.conf 文件以反映新的主 KDC。因此，修改 [realms] 小节下面的第一个 'kdc = …' 行，输入新的主 KDC 名（在此示例中是 huntcup.in.ibm.com）。如果希望旧的主 KDC 作为一个从 KDC，那么在新的主 KDC 条目后面保留它的条目；否则，应该删除旧的主 KDC 条目。另外，在成功升级之后，将在新的主 KDC 上运行管理服务器 (kadmind)，因此修改 [realms] 小节下面的 'admin_server = …' 行以反映新的主 KDC 名。

修改之后的 /etc/krb5/krb5.conf 文件如下所示：-bash-2.05b# hostname
fsaix12.in.ibm.com
-bash-2.05b# cat /etc/krb5/krb5.conf
[libdefaults]
　　　　default_realm = ISL.IN.IBM.COM
　　　　default_keytab_name = FILE:/etc/krb5/krb5.keytab
　　　　default_tkt_enctypes = des3-cbc-sha1 arcfour-hmac aes256-cts des-cbc-md5
　　　　 des-cbc-crc
　　　　default_tgs_enctypes = des3-cbc-sha1 arcfour-hmac aes256-cts des-cbc-md5
　　　　 des-cbc-crc
[realms]
　　　　ISL.IN.IBM.COM = {
　　　　　　　　kdc = huntcup.in.ibm.com:88
　　　　　　　admin_server = huntcup.in.ibm.com:749
　　　　　　　　default_domain = in.ibm.com
　　　　}
[domain_realm]
　　　　.in.ibm.com = ISL.IN.IBM.COM
　　　　fsaix12.in.ibm.com = ISL.IN.IBM.COM
[logging]
　　　　kdc = FILE:/var/krb5/log/krb5kdc.log
　　　　admin_server = FILE:/var/krb5/log/kadmin.log
　　　　default = FILE:/var/krb5/log/krb5lib.log
-bash-2.05b#