...
Installation du serveur esclave
Installation du système
Nom du serveur | kerb2.univ-rennes1.fr |
Système | RedHat Entreprise 5 |
Ouverture de ports | ssh (22 tcp) |
Installation du KDC (Key Distribution Center)
Installer le package krb5-server, puis répéter toutes les opérations faites sur le serveur kerb1, seule l'ouverture du port 749 n'est pas nécessaire.
...
Et modifier la partie realms du fichier /etc/krb5.conf (remplacer kerb1 par kerb2):
Bloc de code |
---|
[realms] UNIV-RENNES1.FR = { kdc = kerb2.univ-rennes1.fr:88 admin_server = kerb1kerb2.univ-rennes1.fr:749 default_domain = univ-rennes1.fr } |
xCréer la base Kerberos, ajouter le premier utilisateur (root/admin), démarrer les services et vérifier le fonctionnement en affichant les principals.
Mise en place de la réplication
Sur le serveur maître, créer les clés des serveurs kerb1 et kerb2 et les exporter dans la keytab par défaut du serveur (/etc/krb5.keytab) :
Bloc de code |
---|
[root@kerb1 ~]# kadmin -p root/admin
Authenticating as principal root/admin with password.
Password for root/admin@UNIV-RENNES1.FR:
kadmin: addprinc -randkey host/kerb1.univ-rennes1.fr
WARNING: no policy specified for host/kerb1.univ-rennes1.fr@UNIV-RENNES1.FR; defaulting to no policy
Principal "host/kerb1.univ-rennes1.fr@UNIV-RENNES1.FR" created.
kadmin: addprinc -randkey host/kerb2.univ-rennes1.fr
WARNING: no policy specified for host/kerb2.univ-rennes1.fr@UNIV-RENNES1.FR; defaulting to no policy
Principal "host/kerb2.univ-rennes1.fr@UNIV-RENNES1.FR" created.
kadmin: ktadd host/kerb1.univ-rennes1.fr
Entry for principal host/kerb1.univ-rennes1.fr with kvno 3, encryption type Triple DES cbc mode with HMAC/sha1 added to keytab WRFILE:/etc/krb5.keytab.
Entry for principal host/kerb1.univ-rennes1.fr with kvno 3, encryption type ArcFour with HMAC/md5 added to keytab WRFILE:/etc/krb5.keytab.
Entry for principal host/kerb1.univ-rennes1.fr with kvno 3, encryption type DES with HMAC/sha1 added to keytab WRFILE:/etc/krb5.keytab.
Entry for principal host/kerb1.univ-rennes1.fr with kvno 3, encryption type DES cbc mode with RSA-MD5 added to keytab WRFILE:/etc/krb5.keytab.
kadmin: ktadd host/kerb2.univ-rennes1.fr
Entry for principal host/kerb2.univ-rennes1.fr with kvno 3, encryption type Triple DES cbc mode with HMAC/sha1 added to keytab WRFILE:/etc/krb5.keytab.
Entry for principal host/kerb2.univ-rennes1.fr with kvno 3, encryption type ArcFour with HMAC/md5 added to keytab WRFILE:/etc/krb5.keytab.
Entry for principal host/kerb2.univ-rennes1.fr with kvno 3, encryption type DES with HMAC/sha1 added to keytab WRFILE:/etc/krb5.keytab.
Entry for principal host/kerb2.univ-rennes1.fr with kvno 3, encryption type DES cbc mode with RSA-MD5 added to keytab WRFILE:/etc/krb5.keytab.
kadmin: exit
[root@kerb1 ~]# |
Sur le serveur esclave, copier le fichier /etc/krb5.keytab :
Bloc de code |
---|
[root@kerb2 ~]# scp root@kerb1.univ-rennes1.fr:/etc/krb5.keytab /etc
krb5.keytab 100% 634 0.6KB/s 00:00
[root@kerb2 ~]# |
Sur le serveur esclave, éditer le fichier /var/kerberos/krb5kdc/kpropd.acl de la manière suivante :
Bloc de code |
---|
host/kerb1.univ-rennes1.fr@UNIV-RENNES1.FR
host/kerb2.univ-rennes1.fr@UNIV-RENNES1.FR |
Et démarrer le service kpropd :
Bloc de code |
---|
[root@kerb2 ~]# chkconfig kprop on
[root@kerb2 ~]# service kprop start
Starting Kerberos 5 Propagation Server: [ OK ]
[root@kerb2 ~]# |
Sur le serveur maître, créer le script /usr/local/bin/krb5prop.sh :
Bloc de code |
---|
[root@kerb1 ~]# cat > /usr/local/bin/krb5prop.sh
#!/bin/sh
/usr/kerberos/sbin/kdb5_util dump /var/kerberos/krb5kdc/slave_datatrans
/usr/kerberos/sbin/kprop -f /var/kerberos/krb5kdc/slave_datatrans kerb2.univ-rennes1.fr > /dev/null
[root@kerb1 ~]# chmod 700 /usr/local/bin/krb5prop.sh
[root@kerb1 ~]# |
Et l'exécuter :
Bloc de code |
---|
[root@kerb1 ~]# /usr/local/bin/krb5prop.sh
[root@kerb1 ~]# |
Pour vérifier la bonne propagation des principals, ajouter un principal fictif sur le serveur maître et propager vers le serveur esclave :
Bloc de code |
---|
[root@kerb1 ~]# kadmin -p root/admin
Authenticating as principal root/admin with password.
Password for root/admin@UNIV-RENNES1.FR:
kadmin: addprinc dummy
WARNING: no policy specified for dummy@UNIV-RENNES1.FR; defaulting to no policy
Enter password for principal "dummy@UNIV-RENNES1.FR":
Re-enter password for principal "dummy@UNIV-RENNES1.FR":
Principal "dummy@UNIV-RENNES1.FR" created.
kadmin: exit
[root@kerb1 ~]# /usr/local/bin/krb5prop.sh
[root@kerb1 ~]# |
Sur le serveur esclave, vérifier la présence du nouveau principal :
Bloc de code |
---|