Я пытаюсь установить Kerberos на Redhat с ведомыми устройствами и распространением базы данных (не инкрементально). Я просматриваю документацию MIT для KDC installation and configuration. В настоящее время, у меня есть три Сомнения/вопросы:Настройка ведущего-ведомого Kerberos: распространение базы данных и переключение KDC и KADMIN
нам нужно kpropd работает на рабском KDC, даже если мы не будем иметь инкрементный распространение ли?
Я начал XINETD службы, и попытался распространяющейся базу данных (без запуска kpropd, так как я не настроен инкрементальное распространения), и он дал мне ошибку:
kprop: Connection refused while connecting to server
Однако, когда я начал kpropd в то же самое, без каких-либо изменений конфигурации, я смог успешно распространять базу данных.
Согласно document, это говорит
[Re]start inetd daemon. Alternatively, start kpropd as a stand-alone daemon. This is required when incremental propagation is enabled.
Я прошел в MIT Troubleshooting page, а также, и он сказал то же самое, то есть Inetd может работать kprop.
Мой inetd.conf:
krb5_prop stream tcp nowait root /usr/sbin/kpropd kpropd
нам нужно добавить Kerberos Сервер администрирования (admin_server) для ведомого KDC в krb5.conf ли? ИЛИ Другими словами, можем ли мы иметь несколько свойств admin_server, настроенных в krb5.conf?
Поскольку мы настраиваем настройку ведущего-ведомого и можем переключиться на подчиненный KDC, создав в нем новый мастер в любой момент времени. Нам также нужно будет запустить Kerberos Administration Server (kadmind) на новом хозяине. Нужно ли иметь хосты для обоих серверов администратора, перечисленных в файле krb5.conf?
Я попытался добавить оба узла, но оказывается, что это свойство выбирает только последний настроенный.
Мой krb5.conf выглядит следующим образом:
[libdefaults] default_realm = KRB.MY.DOMAIN dns_lookup_realm = false dns_lookup_kdc = false ticket_lifetime = 1h renew_lifetime = 2h forwardable = true [realms] KRB.MY.DOMAIN = { kdc = old-master-host.my.domain kdc = new-master-host.my.domain admin_server = old-master-host.my.domain admin_server = new-master-host.my.domain } [domain_realm] .my.domain = KRB.MY.DOMAIN
В таком случае администратор сервера будет смотреться только на
new-master-host.my.domain
, даже если он работает наold-master-host.my.domain
.Можем ли мы запустить Сервер администрирования Kerberos на подчиненной машине KDC, как указано в MIT documentation?
Я попытался запуска Kerberos Сервер администрирования (kadmind) на мой новый хозяин, и я получил сообщение об ошибке:
Error. This appears to be a slave server, found kpropd.acl
Разве это не рекомендуется, чтобы запустить сервер администрирования на ведомом компьютере или мы должны [ re] переместить файл kpropd.acl, прежде чем мы сможем запустить Сервер администрирования?
Я бы очень признателен за любые указания или помощь.
Я делаю подобную установку, но мой CentOS не имеет Inetd настройки демона. Не могли бы вы рассказать мне, как настроить и запустить демон inetd? Я застрял в ручном распространении базы данных на подчиненный KDC – earl
Ручное распространение базы данных на подчиненный KDC дает мне ошибку: kprop: Клиент не найден в базе данных Kerberos при получении начальных учетных данных – earl