Søk:

Kerberospropagering

Vi har to KDCer i Kerberosoppsettet vårt, bjeff og voff. bjeff er hoved-KDC - den tar seg av administrative oppgaver, som å legge til og slette principals, bytte passord på brukere og vedlikeholder ACL-lister for admin-principals. voff fungerer som slave, og kan kun svare på autentiseringsforespørsler.

Det finnes to måter å propagere endringer fra én KDC til en annen i Heimdal Kerberos, iprop og hprop. iprop et incremental propagation, som propagerer bare endringer fra en master til en slave. hprop flytter enkelt og greit bare hele databasen fra master til slave.

Per desember 2011 gjør bjeff hprop til voff hvert minutt, og det kjører ingen iprop. Årsaken er at voff kjører squeeze og bjeff lenny, og i lenny lytter ikke ipropd-master på IPv6. voff har ikke IPv4-adresser.

hprop på bjeff

cron kjører skriptet /usr/local/bin/hprop-sync hvert minutt, som gjør hprop-synkronisering og logger det til /var/log/hprop-sync.log.

Historisk

Vi brukte lenge hprop, fordi man ikke fikk til iprop da vi innførte Kerberos på Samfundet. I oktober 2007 prøvde man på nytt iprop, og nå virker det. Muligens var Etch trikset. Idéen er at man kjører en nisse på masteren, ipropd-master, og en nisse på slaven(e), ipropd-slave. ipropd-slave autentiserer seg med en principal i /etc/krb5.keytab, iprop/bjeff.samfundet.no, og bjeff autentiserer voff med iprop/voff.samfundet.no i samme fil.

Nå (tidlig 2008) byttet vi til å kjøre ipropd fast, med nattlige synkinger med hprop, for å være sikker på at de er i synk.

iprop er noe eksperimentelt, og relativt kresen programvare. En del ting må påses at er korrekt, ellers nekter den å virke, gjerne uten feilmeldinger.

• hostname(1) må returnere FQDN.
• /etc/hosts må ikke gi 127.0.0.1 for navnet på maskinene, verken FQDN eller kortnavn.
• keytabbene på begge maskinene må være i orden og fra samme database (om du bruker kadmin -p $user/admin og ikke kadmin -l for å eksportere principalene, går det fint)
• /var/lib/heimdal-kdc/slaves på masteren må ha iprop/slave.samfundet.no@SAMFUNDET.NO på en linje (og flere linjer for flere slaver), ikke f.eks. ipropd/slave.samfundet.no@SAMFUNDET.NO.
• /etc/default/heimdal-kdc på slaven må ha FQDN for masteren i SLAVE_PARAMS (og master_enabled og slave_enabled må være rett, men det sier seg selv)

Lenker: Start

Epost: itk@samfundet.no | Telefon: 992 15 925 | Sist endret: 2011-12-12 16:39 | Revisjon: 4 (historie, blame) | Totalt: 1880 kB | Rediger