在 AIX 上用 LDAP 主-副本拓扑配置 Kerberos 主-从 KDC
2009-07-12 08:35:08 来源:WEB开发网在 /etc/krb5/krb5.conf 文件中只列出了一个 KDC (master.in.ibm.com)。编辑这个文件,添加从 KDC (slave.in.ibm.com) 的 KDC 条目,如下所示: -bash-2.05b# cat /etc/krb5/krb5.conf
[libdefaults]
default_realm = TEST
default_keytab_name = FILE:/etc/krb5/krb5.keytab
default_tkt_enctypes = des3-cbc-sha1 arcfour-hmac aes256-cts des-cbc-md5
des-cbc-crc
default_tgs_enctypes = des3-cbc-sha1 arcfour-hmac aes256-cts des-cbc-md5
des-cbc-crc
[realms]
TEST = {
kdc = master.in.ibm.com:88
kdc = slave.in.ibm.com:88
admin_server = master.in.ibm.com:749
default_domain = in.ibm.com
}
[domain_realm]
.in.ibm.com = TEST
master.in.ibm.com = TEST
slave.in.ibm.com = TEST
[logging]
kdc = FILE:/var/krb5/log/krb5kdc.log
admin_server = FILE:/var/krb5/log/kadmin.log
default = FILE:/var/krb5/log/krb5lib.log
-bash-2.05b#
现在,测试配置所需的所有设置都完成了。使用 /usr/krb5/bin/kinit 和 /usr/krb5/bin/klist 命令测试客户机是否可以联系 KDC。 bash-2.05b# /usr/krb5/bin/kinit admin/admin
Password for admin/admin@TEST:
bash-2.05b# /usr/krb5/bin/klist
Ticket cache: FILE:/var/krb5/security/creds/krb5cc_0
Default principal: admin/admin@TEST
Valid starting Expires Service principal
05/09/08 07:08:53 05/10/08 07:08:51 krbtgt/TEST@TEST
bash-2.05b#
还可以通过运行 /usr/krb5/sbin/kadmin 命令测试到 kadmind 的连接。 bash-2.05b# /usr/krb5/sbin/kadmin -p admin/admin
Authenticating as principal admin/admin with password.
Password for admin/admin@TEST:
kadmin: getprincs
K/M@TEST
admin/admin@TEST
kadmin/admin@TEST
kadmin/changepw@TEST
kadmin/history@TEST
krbtgt/TEST@TEST
kadmin: q
bash-2.05b#
为了测试故障转移机制,可以尝试关闭从/主 KDC 或 LDAP 服务器。在任何服务器发生故障时,前面配置的客户机可以按以下路径进行故障转移:
图 3. IBM NAS 客户机的故障转移路径
现在,我们已经成功地用 LDAP 主-副本拓扑配置了 IBM NAS 主-从 KDC。
结束语
本文讲解了如何用 LDAP 主-副本设置配置 Kerberos 主-从 KDC。尽管这个任务比较复杂,但是本文通过示例详细介绍了配置步骤,应该能够帮助您成功地完成配置。
中查找“在 AIX 上用 LDAP 主-副本拓扑配置 Kerberos 主-从 KDC”更多相关内容
中查找“在 AIX 上用 LDAP 主-副本拓扑配置 Kerberos 主-从 KDC”更多相关内容更多精彩
赞助商链接
