在 AIX 上用 LDAP 主-副本拓扑配置 Kerberos 主-从 KDC

核心提示：简介在 Kerberos 生产环境中，一种最佳实践是使用 LDAP (Lightweight Directory Access Protocol) 目录存储 Kerberos 主体和策略信息，在 AIX 上用 LDAP 主-副本拓扑配置 Kerberos 主-从 KDC，这让 Kerberos 管理员能够集中地管理和监

简介

在 Kerberos 生产环境中，一种最佳实践是使用 LDAP (Lightweight Directory Access Protocol) 目录存储 Kerberos 主体和策略信息。这让 Kerberos 管理员能够集中地管理和监视 Kerberos 数据。

在 Kerberos 设置中，对于主 KDC (Key Distribution Center)，总是应该设置多个从 KDC，这可以提高主 KDC 的可用性，持续支持身份验证服务和其他使用 Kerberos 的服务（例如，AIX® NFS v4、SSH、telnet 等等）。

在使用 LDAP 目录时，一种非常常见的配置是使用一个主 LDAP 服务器和另外几个 LDAP 副本服务器，这种配置可以实现目录数据的负载平衡和高可用性。

典型的 Kerberos 生产环境常常结合使用上述两种配置，这意味着同时使用 Kerberos 主-从 KDC 设置和 LDAP 主-副本设置。设置这种配置需要有经验丰富的 Kerberos 管理员。本文讨论如何配置这样的环境。

示例设置

本文针对 AIX 平台，用 IBM® Network Authentication Service (IBM NAS) 提供 Kerberos 功能，用 IBM Tivoli® Directory Server 6.1 (ITDS) 作为 LDAP 目录服务器。

LDAP 主和副本服务器的配置超出了本文的范围。相关信息请参考 LDAP 文档。本文采用下面的 LDAP 设置：

图 1. LDAP 主-副本拓扑的示例设置

下面是与 Kerberos 设置相关的信息。

Kerberos 管理员名：

admin/admin

Kerberos 领域名：

TEST

IBM NAS 1.4.0.7 主 KDC：

Hostname: master.in.ibm.com Port: 88