在 AIX 上用 LDAP 主-副本拓扑配置 Kerberos 主-从 KDC

核心提示： IBM NAS 1.4.0.7 管理服务器：Hostname: master.in.ibm.com Port: 749IBM NAS 1.4.0.7 从 KDC：Hostname: slave.in.ibm.com Port: 88IBM NAS 1.4.0.7 配置给主 KDC 的客户机

IBM NAS 1.4.0.7 管理服务器：

Hostname: master.in.ibm.com Port: 749

IBM NAS 1.4.0.7 从 KDC：

Hostname: slave.in.ibm.com Port: 88

IBM NAS 1.4.0.7 配置给主 KDC 的客户机：

Hostname: client.in.ibm.com

IBM Tivoli Directory Server v6.1（LDAP 主服务器）：

Hostname: lmaster1.in.ibm.com Port: 389

Hostname: lmaster2.in.ibm.com Port: 389

IBM Tivoli Directory Server v6.1（LDAP 副本服务器）：

Hostname: replica1.in.ibm.com Port: 389

Hostname: replica2.in.ibm.com Port: 389

Hostname: replica3.in.ibm.com Port: 389

这些机器都使用 IBM NAS 1.4.0.7。可以在 AIX Expansion Pack CD 上找到它，也可以从 IBM AIX Web Download Pack Programs 下载。（见 参考资料）。

图 2 给出本文最终要实现的 Kerberos 设置。

图 2. Kerberos 主-从 KDC 配置的示例设置

配置步骤

本节讨论设置以上 Kerberos 配置所需的步骤。

因为主 KDC 和管理服务器需要主体数据库的可读写拷贝来完成所需的修改，所以需要用 LDAP 主服务器配置主 KDC。如果一个 LDAP 主服务器停止运行了，就需要备用的 LDAP 主服务器（包含主体数据库的最新拷贝）立即接管服务。因此，要使用采用对等复制配置的两个 LDAP 主服务器，这种配置会把一个主服务器所做的修改立即传递给另一个主服务器。

另一方面，从 KDC 可以使用 Kerberos 主体数据库的可读写拷贝和只读拷贝。因为从 KDC 用于在紧急情况下替代主 KDC，所以从 KDC 可能需要使用可读写拷贝。由于这个原因，要使用 LDAP 主服务器配置从 KDC 并使用 LDAP 副本服务器作为备用机制。这样的话，即使两个 LDAP 主服务器都停止运行了，从 KDC 仍然可以使用 LDAP 副本服务器继续提供服务。