在 AIX 上用 LDAP 主-副本拓扑配置 Kerberos 主-从 KDC

核心提示： 在这个命令中有几点需要注意：在从机器上只运行一个 krb5kdc 守护进程，因为从机器不支持管理服务器 (kadmind)，在 AIX 上用 LDAP 主-副本拓扑配置 Kerberos 主-从 KDC(7)， 没有数据库传播，因为 Kerberos 数据存储在 LDAP 目录中，需要手工

在这个命令中有几点需要注意：

在从机器上只运行一个 krb5kdc 守护进程，因为从机器不支持管理服务器 (kadmind)。

没有数据库传播。因为 Kerberos 数据存储在 LDAP 目录中，所以不需要把数据从主 KDC 传播到从 KDC。

请注意，从 KDC 现在配置了一个 LDAP 主服务器和三个使用默认 preference 值的副本服务器。需要手工添加另一个 LDAP 主服务器。这需要编辑 /var/krb5/krb5kdc/.kdc_ldap_data 文件，插入下面突出显示的条目。 bash-2.05b#　cat　/var/krb5/krb5kdc/.kdc_ldap_data　
[ldapdefaults]　
　　　　realm　=　TEST　
　　　　bind_dn　=　cn=admin　
　　　　bind_dn_pw　=　adminpwd　
　　　　ldapserver　=　replica1.in.ibm.com　
　　　　ldapserver　=　replica2.in.ibm.com　
　　　　ldapserver　=　replica2.in.ibm.com　
　　　　ldapserver　=　lmaster1.in.ibm.com　
　　　　ldapserver　=　lmaster2.in.ibm.com　
　　　　bind_type　=　simple　
　　　　#LDAP_OPT_REFERRALS　=　1　
　　　　#LDAP_OPT_DEBUG　=　0　
　　　　#LDAP_OPT_DEREF　=　0　
　　　　#LDAP_OPT_TIMELIMIT　=　300　
　　　　#LDAP_OPT_SIZELIMIT　=　0　
　　　　#LDAP_OPT_SSL_TIMEOUT　=　43200　
　　　　#LDAP_OPT_REFHOPLIMIT　=　10　
　
[servers]　
　　　　replica1.in.ibm.com　=　{　
　　　　　　　　port　=　389　
　　　　　　　　replica_type　=　readonly　
　　　　　　　　preference　=　5　
　　　　}　
　　　　replica2.in.ibm.com　=　{　
　　　　　　　　port　=　389　
　　　　　　　　replica_type　=　readonly　
　　　　　　　　preference　=　5　
　　　　}　
　　　　replica3.in.ibm.com　=　{　
　　　　　　　　port　=　389　
　　　　　　　　replica_type　=　readonly　
　　　　　　　　preference　=　5　
　　　　}　
　　　　lmaster1.in.ibm.com　=　{　
　　　　　　　　port　=　389　
　　　　　　　　replica_type　=　readwrite　
　　　　　　　　preference　=　4　
　　　　}　
　　　　lmaster2.in.ibm.com　=　{　
　　　　　　　　port　=　389　
　　　　　　　　replica_type　=　readwrite　
　　　　　　　　preference　=　4　
　　　　}　
　
bash-2.05b#