Kerberos LDAP 主-从配置管理

核心提示： admin/admin@TEST 的密码：可以使用 /usr/krb5/bin/klist 命令来验证凭证文件，在 AIX Kerberos 客户机上，Kerberos LDAP 主-从配置管理(8)，可以使用 mkuser 命令按照以下方式创建 Kerberos 用户：#mkuser-R

admin/admin@TEST 的密码：

可以使用 /usr/krb5/bin/klist 命令来验证凭证文件。

在 AIX Kerberos 客户机上，可以使用 mkuser 命令按照以下方式创建 Kerberos 用户：

#　mkuser　-R　KRB5LDAP　SYSTEM=　"KRB5LDAP"　registry=KRB5LDAP　
<user1>

通过密码命令为用户设置密码，然后验证登录。

#passwd　-R　KRB5LDAP　<user1>

在 Kerberos 客户机服务器中添加从 KDC 服务器的详细信息

Cat　/etc/krb5/krb5.conf　
[libdefaults]　
　　default_realm　=　TEST　
　　default_keytab_name　=　FILE:/etc/krb5/krb5.keytab　
　　default_tkt_enctypes　=　des3-cbc-sha1　arcfour-hmac　aes256-cts　des-cbc-md5　des-cbc-crc　
　　default_tgs_enctypes　=　des3-cbc-sha1　arcfour-hmac　aes256-cts　des-cbc-md5　des-cbc-crc　
　
[realms]　
　　　　TEST　=　{　
　　　　　　　　kdc　=　server1.in.ibm.com:88　
　　　　　kdc　=　server2.in.ibm.com:88　
　　　　　　　　admin_server　=　server1.in.ibm.com:749　
　　　　　　　　default_domain　=　in.ibm.com　
　　　　}　
　
[domain_realm]　
　　　　.in.ibm.com　=　TEST　
　　　　server1.in.ibm.com　=　TEST　
　　server2.in.ibm.com　=　TEST　
[logging]　
　　　　kdc　=　FILE:/var/krb5/log/krb5kdc.log　
　　　　admin_server　=　FILE:/var/krb5/log/kadmin.log　
　　　　default　=　FILE:/var/krb5/log/krb5lib.log　
　　　

这个故障转移机制可以按照以下方法进行验证。停止并关闭 LDAP 主服务器和 Kerberos 主服务器。从 Kerberos 客户机运行 kinit。此外，保证所有 Kerberos 用户都从客户机登录。

在 Kerberos 从服务器中检查 /var/krb5/log/ krb5kdc.log 文件，以跟踪事件机制。