openldap2-client-2.2.24-4.12

pam_ldap-169-28.4

ldapcpplib-0.0.3-21.3

nss_ldap-215-59.5

yast2-ldap-client-2.9.29-0.4

heimdal-tools-0.6.1rc3-55.9

heimdal-lib-0.6.1rc3-55.15

autofs-3.1.7-900.1

xntp-4.2.0a-23.8

yast2-ntp-client-2.9.15-0.2

passwd: compat

group:  compat

hosts:  files dns

networks:       files dns

services:       files

protocols:      files

rpc:    files

ethers: files

netmasks:       files

netgroup:       files

publickey:      files

bootparams:     files

automount:      files nis

aliases:        files

passwd_compat:  ldap

group_compat:   ldap

……

BASE_CONFIG_DN="ou=ldapconfig,dc=MOODISK,dc=com"

……

BIND_DN="cn=Administrator,dc=MOODISK,dc=com"

……

auth:   use_ldap

account:        use_ldap

password:       use_ldap

session:        none

host    ldapserver.MOODISK.com ldapslave.MOODISK.com

base    dc=MOODISK,dc=com

ldap_version    3

pam_password    crypt

ssl     start_tls

nss_map_attribute       uniqueMember member

pam_filter      objectclass=posixAccount

nss_base_passwd dc=MOODISK,dc=com

nss_base_shadow dc=MOODISK,dc=com

nss_base_group  dc=MOODISK,dc=com

[libdefaults]

        clockskew = 300

        default_realm = MOODISK.COM

[realms]

MOODISK.COM = {

        kdc = krb5server.MOODISK.com

        default_domain = MOODISK.com

        admin_server = krb5server.MOODISK.com

        kpasswd_server = krb5server.MOODISK.com

}

[domain_realm]

        .MOODISK.com = MOODISK.COM

[logging]

        default = SYSLOG:NOTICE:DAEMON

        kdc = FILE:/var/log/kdc.log

        kadmind = FILE:/var/log/kadmind.log

[appdefaults]

pam = {

        ticket_lifetime = 1d

        renew_lifetime = 1d

        forwardable = true

        proxiable = false

        retain_after_close = false

        minimum_uid = 0

        debug = false

}

auth:   use_krb5 use_ldap

account:        use_krb5 use_ldap

password:       use_krb5 use_ldap

session:        none

passwd: compat

group:  compat

hosts:  files dns

networks:       files dns

services:       files

protocols:      files

rpc:    files

ethers: files

netmasks:       files

netgroup:       files

publickey:      files

bootparams:     files

automount:      ldap files

aliases:        files

passwd_compat:  ldap

group_compat:   ldap

……

#限定登陆的组和机器

AllowGroups oracle notes admin root

AllowUsers *@adminconsole1_ip *@adminconsole2_ip

#限制安控办的人登陆

DenyGroups security

#关闭反解释，加快登陆速度

UseDNS no

#30分钟客户没有响应后断开连接

ClientAliveInterval 600

ClientAliveCountMax 3

#起用kerberos验证

GSSAPIAuthentication yes

GSSAPICleanupCredentials yes

……

# vim /etc/ssh/ssh_config

……

GSSAPIAuthentication yes

GSSAPIDelegateCredentials yes

……

……

server szxntp01-in.MOODISK.com

server szxntp02-in.MOODISK.com

……

/bin/date >/root/.bash_history

history -a

/bin/date >>/root/.bash_history

/bin/logger -f /root/.bash_history

/usr/bin/kdestroy

5.2 现有linux系统统计表

参见红宝书中的《Domino服务器清单和位置》

5.3 例子：一次故障处理全过程演示

图5：一次问题处理过程

图中：红色箭头代表人的行为方向，绿色箭头则是目录信息的流向。

整个故障处理过程大致分为三阶段：授权、问题处理、撤权。

1).授权过程：维护员接到问题后向安控办授权员申请故障机的root角色-->授权员登入管理控制台运行脚本menu.sh-->选择“授权菜单”：输入故障机器名、维护员帐号和时间段。

2).问题处理过程：维护员登入管理控制台⑵-->维护员以root身份登入故障机B⑶-->维护员处理问题-->返回到管理控制台-->退出管理控制台。 票据的获取和销毁是自动完成的。

3).撤权过程：有两种方法，一时自动完成，即过了有效期后自动撤权，二是在脚本中手工完成：授权员登入管理控制台运行脚本menu.sh选择“撤权菜单”：输入故障机器名、维护员帐号。

等入控制台：可采用windows工具，如putty, 输入帐号kongxue/grants或zsan/MOODISK登入；

查询当前的票据：klist

维护员持票据代理root角色登入故障服务器：ssh root@

5.4 FAQ

1).其他机器没法远程管理kerberos库

检查kerberos主机上的三个后台进程已经启动：kdc, kadmind, kpasswdd --> 网络通 --> 确保/etc/krb5.conf中的配置项正确（与kerberos主机上的相同）--> 检查kerberos主机上的权限管理文件是否配置正确（/var/heimdal/kadmind.acl）--> kadmin –p （principal要出现在权限管理文件中）。

2).不输密码通过ssh工具没法登入到另一台机器

如果没有看到提示输入密码信息（说明网络连同存在问题，这时检查网络是否通）-->对端机器sshd是否正常启动（在对端机器上输入ssh localhost）-->两端防火墙是否阻止了ssh会话-->两端ssh是否配置成了使用kerberos验证机制-->检查kerberos库中是否存在相应的principal-->查看本地的授权票据是否存在或过期（klist）-->检查欲登入帐户的家目录下的文件.k5login中是否存在当前的帐号所对应的pincipal（例如你的pincipal是zsan/oracle@MOODISK.COM，拟以帐号lsi/notes登入另一台机器，那么在lsi/notes的家目录的.k5login应包含zsan/oracle@MOODISK.COM）-->检查家目录能否自动mount到对端机器-->检查两台机器的时差是否在合理范围内（不超过5分钟）