Kerberos und Network Address Translation

german

#1

Moin!

Wir haben ein Setup mit mehreren Standorten, wobei jeder Standort seinen eigenen DC Slave mit lokaler LDAP für die Authentifizierung hat. Für die Vernetzung der Standorte müssen wir zwingend Network Address Translation einsetzen. Da Kerberos (meines Wissens) nicht mit NAT umgehen kann, führt dies dazu, dass sich die Benutzer nicht mit SSH an den UCS Servern anmelden können. Wir haben festgestellt, dass auf den Slaves auch ein Kerberos Server mitläuft und hatten Erfolg, indem wir auf den Memberservern die Baseconfig-Variablen kerberos/adminserver und kerberos/kdc auf den jeweiligen Slave umgebogen haben. Jetzt meine Frage: was ist eigentlich die Bedeutung dieser Variablen?

Mit freundlichen Grüßen,
Andreas Burkert


#2

Guten Tag Herr Burkert,

Mit der Baseconfig-Variable kerberos/adminserver kann der kadmind-Daemon konfiguriert werden, der remote administrative Änderungen an der Kerberos-Datenbank ermöglicht.

Mit der Baseconfig-Variable kerberos/kdc wird das “Key Distribution Centre” des Kerberos-Dienstes konfiguriert. Der KDC führt die Authentifizierung durch und stellt Kerberos-Tickets für Zugriffsberechtigungen aus.

Der KDC kann auf die Slaves umgestellt werden, der adminserver sollte aber weiterhin auf den Domänencontroller Master verweisen.

Mit freundlichen Grüßen,
Moritz Mühlenhoff