スレーブとデータベースの伝播 (増分ではない) を使用して、Redhat で Kerberos をセットアップしようとしています。KDC のインストールと構成に関する MIT のドキュメントを参照しています。現在、私には 3 つの疑問/問題があります。
増分伝播がない場合でも、スレーブ KDC で kpropd を実行する必要がありますか?
xinetd サービスを開始し、データベースの伝播を試みました (増分伝播を構成していないため、kpropd を開始せずに)。エラーが発生しました。
kprop: Connection refused while connecting to serverしかし、構成を変更せずに同じセットアップで kpropd を開始すると、データベースを正常に伝搬することができました。
ドキュメントによると、それは言う
[再] inetd デーモンを開始します。または、kpropd をスタンドアロン デーモンとして起動します。これは、増分伝播が有効な場合に必要です。
MIT のトラブルシューティング ページも調べましたが、同じように、inetd は kprop を実行できます。
私のinetd.conf:
krb5_prop stream tcp nowait root /usr/sbin/kpropd kpropdkrb5.conf にスレーブ KDC 用の Kerberos Administration Server (admin_server) を追加する必要がありますか? または つまり、krb5.conf で複数の admin_server プロパティを構成できますか?
マスター/スレーブ設定を構成しているため、スレーブ KDC に切り替えて、いつでも新しいマスターを作成できます。新しいマスターでも Kerberos Administration Server (kadmind) を開始する必要があります。krb5.conf ファイルにリストされている両方の管理サーバーのホストが必要ですか?
両方のホストを追加しようとしましたが、このプロパティは最後に構成されたホストのみを選択することがわかりました。
私の krb5.conf は次のようになります。
[libdefaults] default_realm = KRB.MY.DOMAIN dns_lookup_realm = false dns_lookup_kdc = false ticket_lifetime = 1h renew_lifetime = 2h forwardable = true [realms] KRB.MY.DOMAIN = { kdc = old-master-host.my.domain kdc = new-master-host.my.domain admin_server = old-master-host.my.domain admin_server = new-master-host.my.domain } [domain_realm] .my.domain = KRB.MY.DOMAINこのような場合、管理サーバーは で
new-master-host.my.domain実行されている場合でも、 でのみ検索されold-master-host.my.domainます。MIT ドキュメントで指定されているように、スレーブ KDC マシンで Kerberos Administration Server を起動できますか?
新しいマスターで Kerberos Administration Server (kadmind) を開始しようとしましたが、次のエラーが発生しました。
Error. This appears to be a slave server, found kpropd.aclスレーブ マシンで管理サーバーを起動することはお勧めできませんか、それとも管理サーバーを起動する前に kpropd.acl ファイルを [削除] する必要がありますか?
ポインタやヘルプをいただければ幸いです。