存档

文章标签 ‘权限管理’

Kerberos KDC 备份方案

2015年3月15日 2 条评论

---

写在前面:

真是好久好久好久木有更新博客了,工作了确实就忙了,尤其是在小米这样的公司;发现学的很多东西当时不沉淀,再回头就需要大量的时间和精力捡起来,真是取不得取不得;能记点就记点,能沉淀点就沉淀点吧,吾当努力而为之;

最近在搞一个Kerberos账号管理系统,出发点是鉴于Kerberos kdc本身没有多机房同步的功能,所以我们打算自己搞一个假同步。本文简单说下我们的同步方案,后面就是笔记了,记录备忘。组织如下:

===KDC同步方案===

===KDC搭建-配置-使用===

===常用命令===

================================================

KDC同步方案

简单来说,我就利用mysql db的实时replication来达到kdc db的同步;

首先,我们有一个基于mysql的Kerberos账号管理系统:Kerberos account management system(简称KAS),管理公司所有的Kerberos账号(具体数据结构就不细说了,视用途而定),账号信息都存储在mysql当中;

其次,不同的机房(包括海外机房)分别部署一个KAS,并部署mysql db主备实时同步;

第三,每个KAS的系统所在的机器都对应部署着KDC的服务器,KAS后面都有一个程序专门check mysql中的账号信息,并将mysql中的账号信息(包括增删改等)同步到KDC server,以此来保证KDC的同步方案;

第四,我们对mysql db replication,kas,以及实施mysql和kdc db同步的script都设置监控报警、自动拉起等配套方案。

下图就是KDC同步方案的架构图:

通过KAS,我们可以对Kerberos账号有一个非常方便的管理,例如:基本的增删改查;同一个账号为不同用户设置不同权限;提供接口查询一个账号都有哪些owner;提供接口给用户导出keytab文件等等;最重要的是通过KAS,我们完成了对Kerberos账号权限管理资源管理

阅读全文...