Kerberospropagering

Vi har to KDCer i Kerberosoppsettet vårt, bjeff og voff. bjeff er hoved-KDC - den tar seg av administrative oppgaver, som å legge til og slette principals, bytte passord på brukere og vedlikeholder ACL-lister for admin-principals. voff fungerer som slave, og kan kun svare på autentiseringsforespørsler.

Det finnes to måter å propagere endringer fra én KDC til en annen i Heimdal Kerberos, iprop og hprop. iprop et incremental propagation, som propagerer bare endringer fra en master til en slave. hprop flytter enkelt og greit bare hele databasen fra master til slave.

Per desember 2011 gjør bjeff hprop til voff hvert minutt, og det kjører ingen iprop. Årsaken er at voff kjører squeeze og bjeff lenny, og i lenny lytter ikke ipropd-master på IPv6. voff har ikke IPv4-adresser.

hprop på bjeff

cron kjører skriptet /usr/local/bin/hprop-sync hvert minutt, som gjør hprop-synkronisering og logger det til /var/log/hprop-sync.log.

Historisk

Vi brukte lenge hprop, fordi man ikke fikk til iprop da vi innførte Kerberos på Samfundet. I oktober 2007 prøvde man på nytt iprop, og nå virker det. Muligens var Etch trikset. Idéen er at man kjører en nisse på masteren, ipropd-master, og en nisse på slaven(e), ipropd-slave. ipropd-slave autentiserer seg med en principal i /etc/krb5.keytab, iprop/bjeff.samfundet.no, og bjeff autentiserer voff med iprop/voff.samfundet.no i samme fil.

Nå (tidlig 2008) byttet vi til å kjøre ipropd fast, med nattlige synkinger med hprop, for å være sikker på at de er i synk.

iprop er noe eksperimentelt, og relativt kresen programvare. En del ting må påses at er korrekt, ellers nekter den å virke, gjerne uten feilmeldinger.

Lenker: Start, kerberos

Mail: itk@samfundet.no | Telefon: 992 15 925 | Sist endret: 2011-12-12 16:39 | Revisjon: 4 (historie, blame) | Totalt: 1479 kB | Rediger