在 AIX 上用 LDAP 主-副本拓扑配置 Kerberos 主-从 KDC

核心提示： 为 Kerberos 准备 LDAP 服务器为了使用 LDAP 服务器存储 Kerberos 数据，需要在 LDAP 服务器上做一些准备工作，在 AIX 上用 LDAP 主-副本拓扑配置 Kerberos 主-从 KDC(3)， 添加适当的后缀，在 LDAP 目录中， 因为本文主要关注 K

为 Kerberos 准备 LDAP 服务器

为了使用 LDAP 服务器存储 Kerberos 数据，需要在 LDAP 服务器上做一些准备工作。

添加适当的后缀。在 LDAP 目录中，后缀是 LDAP 目录层次结构中的顶级条目，在逻辑上相关的所有信息都存储在它下面。因此，要为 Kerberos 信息使用一个后缀。例如，“ou=india, o=ibm, c=in” 是本文中使用的后缀。LDAP 服务器可以有多个后缀，每个后缀表示一个特定的目录层次结构。

装载 Kerberos 模式。为了在 LDAP （主或副本）服务器中存储 Kerberos 数据，首先应该在 LDAP 目录中装载足够的 Kerberos 模式定义。这样做之后，LDAP 服务器才能正确地理解和存储 Kerberos 数据。IBM NAS 1.4 附带 LDIF (LDAP Data Interchange Format) 格式的 Kerberos 模式定义。这些文件是：

/usr/krb5/ldif/IBM.KRB.schema.ldif，用于 IBM Directory Server 5.1 和 5.2

/usr/krb5/ldif/NS5.KRB.schema.ldif，用于 SunONE Directory Server 5.1 和 5.2

可以使用 ldapadd 或 ldapmodify 命令在 LDAP 服务器中装载模式定义。这些命令的更多选项和详细描述请参考 LDAP 文档。

装载领域条目。IBM NAS 主体数据库由一个领域条目代表。这个领域条目是存储 Kerberos 主体和策略信息的基础。它由领域名和后缀组成。在这个示例中，要添加领域条目 krbrealmName-V2=TEST,ou=india,o=ibm,c=in。IBM NAS 附带一个模板领域条目 LDIF 文件，可以根据实际的领域信息编辑它。这个文件名为 /usr/krb5/ldif/realm_add.ldif。

因为本文主要关注 Kerberos 配置，所以假设已经完成了前面给出的 LDAP 设置。下面讨论 Kerberos 的配置步骤。

整个 Kerberos 配置过程可以按照逻辑划分为以下主要步骤：