Kerberos LDAP 主-从配置管理

核心提示： ps-eaf|grepKRB5Kerberos 服务器类型信息存储在 /etc/krb5/krb5_cfg_type 文件中，这个文件包含主/从服务器的信息，Kerberos LDAP 主-从配置管理(4)，通过 LDAP 数据库运行命令 mkkrb5srv 将导致类似于遗留数据库配置的操

　　　ps　-eaf|grep　KRB5

Kerberos 服务器类型信息存储在 /etc/krb5/krb5_cfg_type 文件中。这个文件包含主/从服务器的信息。

通过 LDAP 数据库运行命令 mkkrb5srv 将导致类似于遗留数据库配置的操作（除了数据库创建不同之外）。因为 LDAP 用作后端存储，所以没有在本地文件系统中创建数据库文件。相反，将在 /var/krb5/krb5kdc 目录中创建一个 .kdc_ldap_data 文件来保存关于 LDAP 的信息。

在 LDAP 备份服务器上配置 Kerberos 从服务器

像下面这样使用命令 config.krb5 配置 Kerberos 从服务器。

config.krb5 语法

config.krb5　-E　-d　<domain　name>　-r　<realm>　-s　<KDC　server>　
　-l　<LDAP　replica　server>　-u　<bind　dn>　-p　<bind　passwd>　

例如：

config.krb5　-E　-d　in.ibm.com　-r　TEST　-s　server1.in.ibm.com　-l　
server2.in.ibm.com　　-u　cn=admin　-p　adminpwd

选项 -E 指定配置的是从 KDC 服务器。

<realm> 名应该与 Kerberos 主服务器相同。

这将启动 krb5kdc 守护进程，并使用命令 ps 进行检查： 　ps　-eaf|grep　KRB5

Kerberos 服务器类型信息存储在 /etc/krb5/krb5_cfg_type 文件中。这个文件包含主或从服务器的信息。使用以下命令检查 Kerberos 服务器的类型：

　　　#　cat　/etc/krb5/krb5_cfg_type　

查看 /etc/krb5/krb5.conf 文件确认从服务器配置。

#　cat　/etc/krb5/krb5.conf　
[libdefaults]　
　　default_realm　=　TEST　
　　default_keytab_name　=　FILE:/etc/krb5/krb5.keytab　
　　default_tkt_enctypes　=　des3-cbc-sha1　arcfour-hmac　aes256-cts　des-cbc-md5　des-cbc-crc　
　　default_tgs_enctypes　=　des3-cbc-sha1　arcfour-hmac　aes256-cts　des-cbc-md5　des-cbc-crc　
　
[realms]　
　　　　TEST　=　{　
　　
　　　kdc　=　Server1.in.ibm.com:88　
　　　　　　kdc　=　Server2.in.ibm.com:88　
　　　　　　admin_server　=　Server1.in.ibm.com:749　
　　　　　　　default_domain　=　in.ibm.com　
　　　　　　　vdb_plugin_lib　=　/usr/lib/libkrb5ldplug.a　
　　　　}　
　
[domain_realm]　
　　　　.in.ibm.com　=　TEST　
　　　　Server1.in.ibm.com　=　TEST　
　　　　Server2.in.ibm.com　=　TEST　
　
[logging]　
　　　　kdc　=　FILE:/var/krb5/log/krb5kdc.log　
　　　　admin_server　=　FILE:/var/krb5/log/kadmin.log　
　　　　default　=　FILE:/var/krb5/log/krb5lib.log