Installation du serveur esclave

Installation du système

Nom du serveur	kerb2.univ-rennes1.fr
Système	RedHat Entreprise 5
Ouverture de ports	ssh (22 tcp) kinit (88 tcp/udp) kerberos auth (750 tcp)

Installation du KDC (Key Distribution Center)

Installer le package krb5-server, puis répéter toutes les opérations faites sur le serveur kerb1, seule l'ouverture du port 749 n'est pas nécessaire.

...

Et modifier la partie realms du fichier /etc/krb5.conf (remplacer kerb1 par kerb2):

Bloc de code
[realms] UNIV-RENNES1.FR = { kdc = kerb2.univ-rennes1.fr:88 admin_server = kerb1kerb2.univ-rennes1.fr:749 default_domain = univ-rennes1.fr }

xCréer la base Kerberos, ajouter le premier utilisateur (root/admin), démarrer les services et vérifier le fonctionnement en affichant les principals.

Mise en place de la réplication

Sur le serveur maître, créer les clés des serveurs kerb1 et kerb2 et les exporter dans la keytab par défaut du serveur (/etc/krb5.keytab) :

Bloc de code

[root@kerb1 ~]# kadmin -p root/admin
Authenticating as principal root/admin with password.
Password for root/admin@UNIV-RENNES1.FR:
kadmin:  addprinc -randkey host/kerb1.univ-rennes1.fr
WARNING: no policy specified for host/kerb1.univ-rennes1.fr@UNIV-RENNES1.FR; defaulting to no policy
Principal "host/kerb1.univ-rennes1.fr@UNIV-RENNES1.FR" created.
kadmin:  addprinc -randkey host/kerb2.univ-rennes1.fr
WARNING: no policy specified for host/kerb2.univ-rennes1.fr@UNIV-RENNES1.FR; defaulting to no policy
Principal "host/kerb2.univ-rennes1.fr@UNIV-RENNES1.FR" created.
kadmin:  ktadd host/kerb1.univ-rennes1.fr
Entry for principal host/kerb1.univ-rennes1.fr with kvno 3, encryption type Triple DES cbc mode with HMAC/sha1 added to keytab WRFILE:/etc/krb5.keytab.
Entry for principal host/kerb1.univ-rennes1.fr with kvno 3, encryption type ArcFour with HMAC/md5 added to keytab WRFILE:/etc/krb5.keytab.
Entry for principal host/kerb1.univ-rennes1.fr with kvno 3, encryption type DES with HMAC/sha1 added to keytab WRFILE:/etc/krb5.keytab.
Entry for principal host/kerb1.univ-rennes1.fr with kvno 3, encryption type DES cbc mode with RSA-MD5 added to keytab WRFILE:/etc/krb5.keytab.
kadmin:  ktadd host/kerb2.univ-rennes1.fr
Entry for principal host/kerb2.univ-rennes1.fr with kvno 3, encryption type Triple DES cbc mode with HMAC/sha1 added to keytab WRFILE:/etc/krb5.keytab.
Entry for principal host/kerb2.univ-rennes1.fr with kvno 3, encryption type ArcFour with HMAC/md5 added to keytab WRFILE:/etc/krb5.keytab.
Entry for principal host/kerb2.univ-rennes1.fr with kvno 3, encryption type DES with HMAC/sha1 added to keytab WRFILE:/etc/krb5.keytab.
Entry for principal host/kerb2.univ-rennes1.fr with kvno 3, encryption type DES cbc mode with RSA-MD5 added to keytab WRFILE:/etc/krb5.keytab.
kadmin:  exit
[root@kerb1 ~]#

Sur le serveur esclave, copier le fichier /etc/krb5.keytab :

Bloc de code
[root@kerb2 ~]# scp root@kerb1.univ-rennes1.fr:/etc/krb5.keytab /etc krb5.keytab 100% 634 0.6KB/s 00:00 [root@kerb2 ~]#

Sur le serveur esclave, éditer le fichier /var/kerberos/krb5kdc/kpropd.acl de la manière suivante :

Bloc de code
host/kerb1.univ-rennes1.fr@UNIV-RENNES1.FR host/kerb2.univ-rennes1.fr@UNIV-RENNES1.FR

Et démarrer le service kpropd :

Bloc de code
[root@kerb2 ~]# chkconfig kprop on [root@kerb2 ~]# service kprop start Starting Kerberos 5 Propagation Server: [ OK ] [root@kerb2 ~]#

Sur le serveur maître, créer le script /usr/local/bin/krb5prop.sh :

Bloc de code

[root@kerb1 ~]# cat > /usr/local/bin/krb5prop.sh
#!/bin/sh
/usr/kerberos/sbin/kdb5_util dump /var/kerberos/krb5kdc/slave_datatrans
/usr/kerberos/sbin/kprop -f /var/kerberos/krb5kdc/slave_datatrans kerb2.univ-rennes1.fr > /dev/null
[root@kerb1 ~]# chmod 700 /usr/local/bin/krb5prop.sh
[root@kerb1 ~]#

Et l'exécuter :

Bloc de code
[root@kerb1 ~]# /usr/local/bin/krb5prop.sh [root@kerb1 ~]#

Pour vérifier la bonne propagation des principals, ajouter un principal fictif sur le serveur maître et propager vers le serveur esclave :

Bloc de code

[root@kerb1 ~]# kadmin -p root/admin
Authenticating as principal root/admin with password.
Password for root/admin@UNIV-RENNES1.FR:
kadmin:  addprinc dummy
WARNING: no policy specified for dummy@UNIV-RENNES1.FR; defaulting to no policy
Enter password for principal "dummy@UNIV-RENNES1.FR":
Re-enter password for principal "dummy@UNIV-RENNES1.FR":
Principal "dummy@UNIV-RENNES1.FR" created.
kadmin:  exit
[root@kerb1 ~]# /usr/local/bin/krb5prop.sh
[root@kerb1 ~]#

Sur le serveur esclave, vérifier la présence du nouveau principal :

Bloc de code

Pages enfant

Comparaison des versions

Ancienne version 6

Nouvelle version 7

Légende

Installation du serveur esclave

Installation du système

Installation du KDC (Key Distribution Center)

Mise en place de la réplication

Pages enfant

Pages Authentification des utilisateurs - de LDAP à Kerberos Installation des serveurs Kerberos Historique de la page

Comparaison des versions

Ancienne version 6

Nouvelle version 7

Légende

Installation du serveur esclave

Installation du système

Installation du KDC (Key Distribution Center)

Mise en place de la réplication

Pages
Authentification des utilisateurs - de LDAP à Kerberos
Installation des serveurs Kerberos

Historique de la page