5.5. 为负载均衡器创建 keytab,并将 Directory 服务器配置为使用 keytab
在用户使用 GSSAPI 在负载均衡器后对 Directory 服务器进行身份验证之前,您必须为负载均衡器创建 Kerberos 主体,并将 Directory 服务器配置为使用 Kerberos 主体。本节描述了这个步骤。
前提条件
包含以下
.inf
文件配置的实例:-
full_machine_name
参数设为负载均衡器的 DNS 名称。 -
strict_host_checking
参数设置为False
。
-
流程
-
为负载均衡器创建 Kerberos 主体,如
ldap/loadbalancer.example.com_@_EXAMPLE.COM
。创建服务主体的步骤取决于您的 Kerberos 安装。详情请查看您的 Kerberos 服务器文档。 -
可选:您可以在 keytab 文件中添加更多主体。例如,要让用户通过使用 Kerberos 身份验证直接连接到负载均衡器后面的 Directory Server 实例,可以为 Directory Server 主机添加额外的主体。例如:
ldap/server1.example.com@EXAMPLE.COM
. -
将服务 keytab 文件复制到 Directory 服务器主机上,并将其存储,例如在
/etc/dirsrv/slapd-instance_name/ldap.keytab
文件中。 将服务 keytab 的路径添加到
/etc/sysconfig/slapd-instance_name
文件中:KRB5_KTNAME=/etc/dirsrv/slapd-instance_name/ldap.keytab
重启 Directory Server 实例:
# dsctl instance_name restart
验证
验证您可以使用 GSSAPI 协议连接到负载均衡器:
# ldapsearch -H ldap://loadbalancer.example.com -Y GSSAPI
如果您在 keytab 文件中添加了额外的 Kerberos 主体,如 Directory Server 主机本身,还要验证这些连接:
# ldapsearch -H ldap://server1.example.com -Y GSSAPI