搜索

3.5. 为负载均衡器创建 keytab,并将 Directory 服务器配置为使用 keytab

download PDF

在用户使用 GSSAPI 对负载均衡器后面的目录服务器验证前,您必须为负载均衡器创建 Kerberos 主体,并将 Directory Server 配置为使用 Kerberos 主体。本节描述了这个步骤。

先决条件

包含以下 .inf 文件配置的实例:

  • full_machine_name 参数设置为负载均衡器的 DNS 名称。
  • strict_host_checking 参数设为 False

流程

  1. 为负载均衡器创建 Kerberos 主体。例如,ldap/loadbalancer.example.com@EXAMPLE.COM
  2. 另外,您还可以在 keytab 文件中添加更多主体。例如,要让用户直接使用 Kerberos 身份验证连接到负载均衡器后面的 Directory 服务器实例,请为 Directory Server 主机添加额外的主体。例如,ldap/server1.example.com@EXAMPLE.COM

    创建服务主体的步骤取决于您的 Kerberos 安装。详情请查看您的 Kerberos 服务器文档。

  3. 将服务 keytab 文件复制到 Directory 服务器。例如,将其存储在 /etc/dirsrv/slapd-instance_name/ldap.keytab 文件中。
  4. /etc/sysconfig/slapd-instance_name 文件中添加服务 keytab 的路径:

    KRB5_KTNAME=/etc/dirsrv/slapd-instance_name/ldap.keytab
  5. 重启 Directory 服务器实例:

    # systemctl restart dirsrv@instance_name
  6. 验证您可以使用 GSSAPI 协议连接到负载均衡器。例如:

    # ldapsearch -H ldap://loadbalancer.example.com -Y GSSAPI

    如果您在 keytab 文件(如 Directory Server 主机本身)中添加了额外的 Kerberos 主体,还必须验证这些连接。例如:

    # ldapsearch -H ldap://server1.example.com -Y GSSAPI
Red Hat logoGithubRedditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

© 2024 Red Hat, Inc.