在 AIX 上用 LDAP 主-副本拓扑配置 Kerberos 主-从 KDC
2009-07-12 08:35:08 来源:WEB开发网简介
在 Kerberos 生产环境中,一种最佳实践是使用 LDAP (Lightweight Directory Access Protocol) 目录存储 Kerberos 主体和策略信息。这让 Kerberos 管理员能够集中地管理和监视 Kerberos 数据。
在 Kerberos 设置中,对于主 KDC (Key Distribution Center),总是应该设置多个从 KDC,这可以提高主 KDC 的可用性,持续支持身份验证服务和其他使用 Kerberos 的服务(例如,AIX® NFS v4、SSH、telnet 等等)。
在使用 LDAP 目录时,一种非常常见的配置是使用一个主 LDAP 服务器和另外几个 LDAP 副本服务器,这种配置可以实现目录数据的负载平衡和高可用性。
典型的 Kerberos 生产环境常常结合使用上述两种配置,这意味着同时使用 Kerberos 主-从 KDC 设置和 LDAP 主-副本设置。设置这种配置需要有经验丰富的 Kerberos 管理员。本文讨论如何配置这样的环境。
示例设置
本文针对 AIX 平台,用 IBM® Network Authentication Service (IBM NAS) 提供 Kerberos 功能,用 IBM Tivoli® Directory Server 6.1 (ITDS) 作为 LDAP 目录服务器。
LDAP 主和副本服务器的配置超出了本文的范围。相关信息请参考 LDAP 文档。本文采用下面的 LDAP 设置:
图 1. LDAP 主-副本拓扑的示例设置
下面是与 Kerberos 设置相关的信息。
Kerberos 管理员名:
admin/admin
Kerberos 领域名:
TEST
IBM NAS 1.4.0.7 主 KDC:
Hostname: master.in.ibm.com Port: 88
更多精彩
赞助商链接