搜索

5.5. 为负载均衡器创建 keytab,并将 Directory 服务器配置为使用 keytab

download PDF

在用户使用 GSSAPI 在负载均衡器后对 Directory 服务器进行身份验证之前,您必须为负载均衡器创建 Kerberos 主体,并将 Directory 服务器配置为使用 Kerberos 主体。本节描述了这个步骤。

前提条件

  • 包含以下 .inf 文件配置的实例:

    • full_machine_name 参数设为负载均衡器的 DNS 名称。
    • strict_host_checking 参数设置为 False

流程

  1. 为负载均衡器创建 Kerberos 主体,如 ldap/loadbalancer.example.com_@_EXAMPLE.COM。创建服务主体的步骤取决于您的 Kerberos 安装。详情请查看您的 Kerberos 服务器文档。
  2. 可选:您可以在 keytab 文件中添加更多主体。例如,要让用户通过使用 Kerberos 身份验证直接连接到负载均衡器后面的 Directory Server 实例,可以为 Directory Server 主机添加额外的主体。例如: ldap/server1.example.com@EXAMPLE.COM.
  3. 将服务 keytab 文件复制到 Directory 服务器主机上,并将其存储,例如在 /etc/dirsrv/slapd-instance_name/ldap.keytab 文件中。
  4. 将服务 keytab 的路径添加到 /etc/sysconfig/slapd-instance_name 文件中:

    KRB5_KTNAME=/etc/dirsrv/slapd-instance_name/ldap.keytab
  5. 重启 Directory Server 实例:

    # dsctl instance_name restart

验证

  • 验证您可以使用 GSSAPI 协议连接到负载均衡器:

    # ldapsearch -H ldap://loadbalancer.example.com -Y GSSAPI

    如果您在 keytab 文件中添加了额外的 Kerberos 主体,如 Directory Server 主机本身,还要验证这些连接:

    # ldapsearch -H ldap://server1.example.com -Y GSSAPI
Red Hat logoGithubRedditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

© 2024 Red Hat, Inc.