3.5. 为负载均衡器创建 keytab,并将 Directory 服务器配置为使用 keytab
在用户使用 GSSAPI 对负载均衡器后面的目录服务器验证前,您必须为负载均衡器创建 Kerberos 主体,并将 Directory Server 配置为使用 Kerberos 主体。本节描述了这个步骤。
先决条件
包含以下 .inf
文件配置的实例:
-
full_machine_name
参数设置为负载均衡器的 DNS 名称。 -
strict_host_checking
参数设为False
。
流程
-
为负载均衡器创建 Kerberos 主体。例如,
ldap/loadbalancer.example.com@EXAMPLE.COM
另外,您还可以在 keytab 文件中添加更多主体。例如,要让用户直接使用 Kerberos 身份验证连接到负载均衡器后面的 Directory 服务器实例,请为 Directory Server 主机添加额外的主体。例如,
ldap/server1.example.com@EXAMPLE.COM
。创建服务主体的步骤取决于您的 Kerberos 安装。详情请查看您的 Kerberos 服务器文档。
-
将服务 keytab 文件复制到 Directory 服务器。例如,将其存储在
/etc/dirsrv/slapd-instance_name/ldap.keytab
文件中。 在
/etc/sysconfig/slapd-instance_name
文件中添加服务 keytab 的路径:KRB5_KTNAME=/etc/dirsrv/slapd-instance_name/ldap.keytab
重启 Directory 服务器实例:
# systemctl restart dirsrv@instance_name
验证您可以使用 GSSAPI 协议连接到负载均衡器。例如:
# ldapsearch -H ldap://loadbalancer.example.com -Y GSSAPI
如果您在 keytab 文件(如 Directory Server 主机本身)中添加了额外的 Kerberos 主体,还必须验证这些连接。例如:
# ldapsearch -H ldap://server1.example.com -Y GSSAPI