在 AIX 上用 LDAP 主-副本拓扑配置 Kerberos 主-从 KDC
2009-07-12 08:35:08 来源:WEB开发网为 Kerberos 准备 LDAP 服务器
为了使用 LDAP 服务器存储 Kerberos 数据,需要在 LDAP 服务器上做一些准备工作。
添加适当的后缀。在 LDAP 目录中,后缀是 LDAP 目录层次结构中的顶级条目,在逻辑上相关的所有信息都存储在它下面。因此,要为 Kerberos 信息使用一个后缀。例如,“ou=india, o=ibm, c=in” 是本文中使用的后缀。LDAP 服务器可以有多个后缀,每个后缀表示一个特定的目录层次结构。
装载 Kerberos 模式。为了在 LDAP (主或副本)服务器中存储 Kerberos 数据,首先应该在 LDAP 目录中装载足够的 Kerberos 模式定义。这样做之后,LDAP 服务器才能正确地理解和存储 Kerberos 数据。IBM NAS 1.4 附带 LDIF (LDAP Data Interchange Format) 格式的 Kerberos 模式定义。这些文件是:
/usr/krb5/ldif/IBM.KRB.schema.ldif,用于 IBM Directory Server 5.1 和 5.2
/usr/krb5/ldif/NS5.KRB.schema.ldif,用于 SunONE Directory Server 5.1 和 5.2
可以使用 ldapadd 或 ldapmodify 命令在 LDAP 服务器中装载模式定义。这些命令的更多选项和详细描述请参考 LDAP 文档。
装载领域条目。IBM NAS 主体数据库由一个领域条目代表。这个领域条目是存储 Kerberos 主体和策略信息的基础。它由领域名和后缀组成。在这个示例中,要添加领域条目 krbrealmName-V2=TEST,ou=india,o=ibm,c=in。IBM NAS 附带一个模板领域条目 LDIF 文件,可以根据实际的领域信息编辑它。这个文件名为 /usr/krb5/ldif/realm_add.ldif。
因为本文主要关注 Kerberos 配置,所以假设已经完成了前面给出的 LDAP 设置。下面讨论 Kerberos 的配置步骤。
整个 Kerberos 配置过程可以按照逻辑划分为以下主要步骤:
更多精彩
赞助商链接