Ubuntu Server Guide Changes, errors and bugs


Download 1.27 Mb.
Pdf ko'rish
bet154/286
Sana20.12.2022
Hajmi1.27 Mb.
#1035308
1   ...   150   151   152   153   154   155   156   157   ...   286
Bog'liq
ubuntu-server-guide

Resources
• For more information on MIT’s version of Kerberos, see the MIT Kerberos site.
• The Ubuntu Wiki Kerberos page has more details.
• O’Reilly’s Kerberos: The Definitive Guide is a great reference when setting up Kerberos.
• Also, feel free to stop by the #ubuntu-server and #kerberos IRC channels on Freenode if you have
Kerberos questions.
180


Kerberos and LDAP
Kerberos supports a few database backends. The default one is what we have been using so far, called db2.
The DB Types documentation shows all the options, one of which is LDAP.
There are several reasons why one would want to have the Kerberos principals stored in LDAP as opposed to
a local on-disk database. There are also cases when it is not a good idea. Each site has to evaluate the pros
and cons. Here are a few: - the OpenLDAP replication is faster and more robust then the native Kerberos
one, based on a cron job - setting things up with the LDAP backend isn’t exactly trivial and shouldn’t be
attempted by administrators without prior knowledge of OpenLDAP - as highlighted in LDAP section of
DB Types, since krb5kdc is single threaded there may be higher latency in servicing requests when using the
OpenLDAP backend - if you already have OpenLDAP setup for other things, like storing users and groups,
adding the Kerberos attributes to the same mix might be beneficial and can provide a nice integrated story
This section covers configuring a primary and secondary kerberos server to use OpenLDAP for the principal
database. Note that as of version 1.18, the KDC from MIT Kerberos does not support a primary KDC using
a read-only consumer (secondary) LDAP server. What we have to consider here is that a Primary KDC
is read-write, and it needs a read-write backend. The Secondaries can use both a read-write and read-only
backend, because they are expected to be read-only. Therefore there are only some possible layouts we can
use:
1. Simple case: Primary KDC connected to primary OpenLDAP, Secondary KDC connected to both
Primary and Secondary OpenLDAP
2. Extended simple case: Multiple Primary KDCs connected to one Primary OpenLDAP, and multiple
Secondary KDCs connected to Primary and Secondary OpenLDAP
3. OpenLDAP with multi-master replication: multiple primary KDCs connected to all primary OpenL-
DAP servers
We haven’t covered OpenLDAP multi-master replication in this guide, so we will show the first case only.
The second scenario is an extension: just add another primary KDC to the mix, talking to the same primary
OpenLDAP server.

Download 1.27 Mb.

Do'stlaringiz bilan baham:
1   ...   150   151   152   153   154   155   156   157   ...   286




Ma'lumotlar bazasi mualliflik huquqi bilan himoyalangan ©fayllar.org 2024
ma'muriyatiga murojaat qiling