IBM Network Authentication Service KDC 配置，第 2 部分: 把从 KDC 升级为主 KDC

核心提示： 在新的主 KDC 上，重新启动两个 Kerberos 守护进程，IBM Network Authentication Service KDC 配置，第 2 部分: 把从 KDC 升级为主 KDC(7)，-bash-2.05b# hostnamehuntcup.in.ibm.com-bash

在新的主 KDC 上，重新启动两个 Kerberos 守护进程。-bash-2.05b# hostname
huntcup.in.ibm.com
-bash-2.05b# /usr/krb5/sbin/stop.krb5
Stopping /usr/krb5/sbin/krb5kdc...
/usr/krb5/sbin/krb5kdc was stopped successfully.
Stopping /usr/krb5/sbin/kadmind...
The command completed successfully.
-bash-2.05b# /usr/krb5/sbin/start.krb5
Starting krb5kdc...
krb5kdc was started successfully.
Starting kadmind...
kadmind was started successfully.
The command completed successfully.
-bash-2.05b#

启动两个 Kerberos 守护进程之后，尝试获取票证，检查所有使用 Kerberos 的服务和应用程序是否正常。

请记住，新的主 KDC 也包含 /etc/krb5/krb5.conf（因为在配置 IBM NAS 主或从 KDC 时，在默认情况下会配置客户机）。所以不要忘了修改此文件，以反映新的 KDC 和 kadmind 服务器：-bash-2.05b# hostname
huntcup.in.ibm.com
-bash-2.05b# cat /etc/krb5/krb5.conf
[libdefaults]
　　　　default_realm = ISL.IN.IBM.COM
　　　　default_keytab_name = FILE:/etc/krb5/krb5.keytab
　　　　default_tkt_enctypes = des3-cbc-sha1 arcfour-hmac aes256-cts des-cbc-md5
　　　　　des-cbc-crc
　　　　default_tgs_enctypes = des3-cbc-sha1 arcfour-hmac aes256-cts des-cbc-md5
　　　　　des-cbc-crc
[realms]
　　　　ISL.IN.IBM.COM = {
　　　　　　　　kdc = huntcup.in.ibm.com:88
　　　　　　　admin_server = huntcup.in.ibm.com:749
　　　　　　　　default_domain = in.ibm.com
　　　　}
[domain_realm]
　　　　.in.ibm.com = ISL.IN.IBM.COM
　　　　fsaix12.in.ibm.com = ISL.IN.IBM.COM
　　　　huntcup.in.ibm.com = ISL.IN.IBM.COM
[logging]
　　　　kdc = FILE:/var/krb5/log/krb5kdc.log
　　　　admin_server = FILE:/var/krb5/log/kadmin.log
　　　　default = FILE:/var/krb5/log/krb5lib.log
-bash-2.05b#

同样，不要忘记修改此域中所有客户机上的 /etc/krb5/krb5.conf 文件。

最后，作为一个负责的 Kerberos 管理员，必须在新的主 KDC 上设置 cron 作业，从而确保及时地传播 Kerberos 数据库。详细信息请参见本系列的 第 1 部分。

结束语

在本文中，我们已经成功地把从 KDC 升级为主 KDC。本系列的第 3 部分将讲解如何配置用 LDAP 作为存储 Kerberos 数据的后端的从 KDC。