Mehrere KDCs

Moin,

da der KDC im Samba4 auf dem PDC eines Kunden immer wieder gerne abstürzt, habe ich einen Backup DC aufgesetzt damit für diesen Fall weiter Zugriff auf das Netzwerk besteht. Bei den Windows 7 Clients kommt das auch an, nur der Fileserver (UCS mit Samba3) weiß aber nichts von diesem zweiten KDC, d. h. wenn der Master weg ist, besteht wie gehabt kein Zugriff auf die Dateien da der Fileserver kein Kerberos Ticket bekommt.

Was muss ich am besten auf dem Fileserver konfigurieren damit ein zweiter KDC angefragt wird? Ich könnte zwei Server im UCR unter kerberos/kdc eintragen, krb.conf(5) sagt mir aber leider nicht ob dies erlaubt und wenn ja wie die Syntax ist. Und natürlich nicht ob dies irgendwo anders im UCS Nebenwirkungen hätte. Oder setze ich lieber kerberos/defaults/dns_lookup_kdc auf true und leere den kerberos/kdc Eintrag (im DNS ist soweit scheinbar alles korrekt eingetragen)? Das Handbuch deutet in Kapitel 3.7 letzteres an.

Hallo,

ein UCS 3.0 Memberserver sollte den KDC standardmäßig über den DNS Service-Record auflösen (“dns_lookup_kdc = true” in der /etc/krb5.conf).
Damit dies funktionier muss kerberos/defaults/dns_lookup_kdc auf true oder garnicht gesetzt sein, kerberos/kdc sollte ebenfalls nicht gesetzt sein (ucr unset kerberos/defaults/dns_lookup_kdc kerberos/kdc). Natürlich ist außerdem sicher zu stellen dass alle KDCs in den Kerberos Service-Records eingetragen sind (host -t SRV _kerberos._udp; host -t SRV _kerberos._tcp). Die UCR Konfiguration sollte mit UCS 3.0 der Standard sein, außerdem registrieren sich die KDCs beim Join natürlich automatisch den den entsprechenden Service-Records.

Mit freundlichen Grüßen
Janis Meybohm