Настройка ведущего-ведомого Kerberos: распространение базы данных и переключение KDC и KADMIN

Question

Я пытаюсь установить Kerberos на Redhat с ведомыми устройствами и распространением базы данных (не инкрементально). Я просматриваю документацию MIT для KDC installation and configuration. В настоящее время, у меня есть три Сомнения/вопросы:

1. нам нужно kpropd работает на рабском KDC, даже если мы не будем иметь инкрементный распространение ли?

   Я начал XINETD службы, и попытался распространяющейся базу данных (без запуска kpropd, так как я не настроен инкрементальное распространения), и он дал мне ошибку:

   kprop: Connection refused while connecting to server 
   

   Однако, когда я начал kpropd в то же самое, без каких-либо изменений конфигурации, я смог успешно распространять базу данных.

   Согласно document, это говорит

   [Re]start inetd daemon. Alternatively, start kpropd as a stand-alone daemon. This is required when incremental propagation is enabled.

   Я прошел в MIT Troubleshooting page, а также, и он сказал то же самое, то есть Inetd может работать kprop.

   Мой inetd.conf:

   krb5_prop stream tcp nowait root /usr/sbin/kpropd kpropd 
   

2. нам нужно добавить Kerberos Сервер администрирования (admin_server) для ведомого KDC в krb5.conf ли? ИЛИ Другими словами, можем ли мы иметь несколько свойств admin_server, настроенных в krb5.conf?

   Поскольку мы настраиваем настройку ведущего-ведомого и можем переключиться на подчиненный KDC, создав в нем новый мастер в любой момент времени. Нам также нужно будет запустить Kerberos Administration Server (kadmind) на новом хозяине. Нужно ли иметь хосты для обоих серверов администратора, перечисленных в файле krb5.conf?

   Я попытался добавить оба узла, но оказывается, что это свойство выбирает только последний настроенный.

   Мой krb5.conf выглядит следующим образом:

   [libdefaults] 
   default_realm = KRB.MY.DOMAIN 
   dns_lookup_realm = false 
   dns_lookup_kdc = false 
   ticket_lifetime = 1h 
   renew_lifetime = 2h 
   forwardable = true 
   
   [realms] 
   KRB.MY.DOMAIN = { 
   kdc = old-master-host.my.domain 
   kdc = new-master-host.my.domain 
   admin_server = old-master-host.my.domain 
   admin_server = new-master-host.my.domain 
   } 
   
   [domain_realm] 
   .my.domain = KRB.MY.DOMAIN 
   

   В таком случае администратор сервера будет смотреться только на new-master-host.my.domain, даже если он работает на old-master-host.my.domain.

3. Можем ли мы запустить Сервер администрирования Kerberos на подчиненной машине KDC, как указано в MIT documentation?

   Я попытался запуска Kerberos Сервер администрирования (kadmind) на мой новый хозяин, и я получил сообщение об ошибке:

   Error. This appears to be a slave server, found kpropd.acl 
   

   Разве это не рекомендуется, чтобы запустить сервер администрирования на ведомом компьютере или мы должны [ re] переместить файл kpropd.acl, прежде чем мы сможем запустить Сервер администрирования?

Я бы очень признателен за любые указания или помощь.

Answer 1

Ответы на вопросы:

1. Да, вы должны иметь kpropd и krb5kdc службы, работающие на вторичном сервере KDC.
2. Нет необходимости устанавливать второй сервер администрирования в настройке Master-Secondary KDC. Вы можете копировать файлы krb5.conf и kdc.conf из Master KDC в Secondary KDC.
3. Вы не можете запустить kadmind на вторичном сервере KDC, если у вас запущена служба kpropd.

Я использовал эту страницу документации RH для установки мастер-Secondary серверов KDC: https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/6/html/Managing_Smart_Cards/Configuring_a_Kerberos_5_Server.html