我正在尝试在Redhat上使用从属服务器和数据库传播(非增量)设置Kerberos。我正在浏览MIT关于KDC安装和配置的文档。目前,我有三个疑问/问题:
-
我们是否需要在从KDC上运行kpropd,即使我们没有增量传播
我启动了xinetd服务,并尝试传播数据库(没有启动kpropd,因为我没有配置增量传播),但它给了我一个错误:
kprop: Connection refused while connecting to server然而,当我在没有任何配置更改的情况下以相同的设置启动kpropd时,我能够成功地传播数据库。
根据文件,上面写着
[重新]启动inetd守护程序。或者,将kpropd作为独立程序启动守护进程。当启用增量传播时,这是必需的。
我也浏览了麻省理工学院的故障排除页面,上面也说了同样的话,即inetd可以运行kprop。
我的inetd.conf:
krb5_prop stream tcp nowait root /usr/sbin/kpropd kpropd -
我们需要在krb5.conf中为从KDC添加Kerberos管理服务器(admin_Server)吗?或者换句话说,我们可以在krb5.conf中配置多个admin_server属性吗
由于我们正在配置主-从设置,并且可以切换到从KDC,从而在任何时间点为其创建新的主KDC。我们还需要在新主机上启动Kerberos管理服务器(kadmind)。我们是否需要在krb5.conf文件中列出两个管理服务器的主机?
我尝试添加这两个主机,但结果发现这个属性只选择最后配置的一个。
我的krb5.conf看起来像:
[libdefaults] default_realm = KRB.MY.DOMAIN dns_lookup_realm = false dns_lookup_kdc = false ticket_lifetime = 1h renew_lifetime = 2h forwardable = true [realms] KRB.MY.DOMAIN = { kdc = old-master-host.my.domain kdc = new-master-host.my.domain admin_server = old-master-host.my.domain admin_server = new-master-host.my.domain } [domain_realm] .my.domain = KRB.MY.DOMAIN在这种情况下,即使管理服务器在
old-master-host.my.domain上运行,它也只能在new-master-host.my.domain上查看。 -
我们可以按照MIT文档中的规定,在从KDC计算机上启动Kerberos管理服务器吗
我尝试在我的新主机上启动Kerberos管理服务器(kadmind),但出现了一个错误:
Error. This appears to be a slave server, found kpropd.acl是不建议在从属计算机上启动管理服务器,还是必须[重新]移动kpropd.acl文件才能启动管理服务器?
如果有任何建议或帮助,我将不胜感激。
问题答案:
- 是的,您需要在辅助KDC服务器上运行kpropd和krb5kdc服务
- 不需要在主-辅助KDC设置中设置第二个管理服务器。您可以将krb5.conf和kdc.conf文件从主kdc复制到辅助kdc
- 如果运行了kpropd服务,则无法在辅助KDC服务器上启动kadmind
我已经使用这个RH文档页面来设置主-辅助KDC服务器:https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/6/html/Managing_Smart_Cards/Configuring_a_Kerberos_5_Server.html