Linux Kerberos主从设置：数据库传播和KDC&；卡德明开关

我正在尝试在Redhat上使用从属服务器和数据库传播（不是增量）设置Kerberos。我正在浏览麻省理工学院的文档。目前，我有三个疑问/问题：

即使没有增量传播，我们也需要在从KDC上运行kpropd吗？

我启动了xinetd服务，并尝试传播数据库（没有启动kpropd，因为我没有配置增量传播），但它给了我一个错误：

kprop: Connection refused while connecting to server

Error. This appears to be a slave server, found kpropd.acl

但是，当我在相同的设置中启动kpropd而没有任何配置更改时，我能够成功地传播数据库

据报道,

[重新]启动inetd守护进程。或者，将kpropd作为一个独立的应用程序启动 守护进程。当启用增量传播时，这是必需的

我也读过麻省理工学院的，它也说了同样的话，即inetd可以运行kprop

我的inetd.conf：

krb5_prop stream tcp nowait root /usr/sbin/kpropd kpropd

我们是否需要在krb5.conf中为从KDC添加Kerberos管理服务器（管理服务器）？或者换句话说，我们可以在krb5.conf中配置多个管理服务器属性吗？

因为我们正在配置一个主从设置，并且可以切换到从KDC，在任何时候创建一个新的主KDC。我们还需要在新主机上启动Kerberos管理服务器（kadmind）。我们是否需要为krb5.conf文件中列出的两个管理服务器提供主机

我尝试添加这两个主机，但结果表明，该属性只选择最后一个配置的主机

我的krb5.conf看起来像：

[libdefaults]
default_realm = KRB.MY.DOMAIN
dns_lookup_realm = false
dns_lookup_kdc = false
ticket_lifetime = 1h
renew_lifetime = 2h
forwardable = true

[realms]
KRB.MY.DOMAIN = {
kdc = old-master-host.my.domain
kdc = new-master-host.my.domain
admin_server = old-master-host.my.domain
admin_server = new-master-host.my.domain
}

[domain_realm]
.my.domain = KRB.MY.DOMAIN

在这种情况下，管理服务器将只查看

新主主机.my.domain

，即使它在

旧主主机.my.domain

上运行

我们是否可以在从KDC机器上启动Kerberos管理服务器，如中所述？

我尝试在新主机上启动Kerberos管理服务器（kadmind），但出现错误：

kprop: Connection refused while connecting to server

Error. This appears to be a slave server, found kpropd.acl

是否不建议在从属计算机上启动管理服务器，或者在启动管理服务器之前必须[重新]移动kpropd.acl文件

---

非常感谢您的指点和帮助。

回答您的问题：

是的，您需要在辅助KDC服务器上运行kpropd和krb5kdc服务

不需要在主辅助KDC设置中设置第二个管理服务器。您可以将krb5.conf和kdc.conf文件从主kdc复制到辅助kdc

如果正在运行kpropd服务，则无法在辅助KDC服务器上启动kadmind

---

我已经使用此RH文档页面设置了主辅助KDC服务器：

我正在进行类似的设置，但我的CentOS没有inetd守护程序设置。您能告诉我如何设置和启动inetd守护进程吗？我被困在手动将数据库传播到从KDC的过程中。手动将数据库传播到从KDC给了我错误：kprop:Client在获取初始值时未在Kerberos数据库中找到credentials@earl很抱歉，评论来得很晚，但是是的，您可以很好地运行kprop。您只需将这两台主机添加到KDC中，然后将它们的键表创建并保存在/etc/krb5.keytab中