ขณะนี้ฉันกำลังเรียนรู้เกี่ยวกับ Kerberos และมีบางสิ่งที่ฉันไม่ค่อยเข้าใจ: ดูเหมือนว่าผู้ดูแลระบบเซิร์ฟเวอร์: แคดมายด์ - ไม่จำเป็นต้องทำงานบนเครื่องเดียวกับของ KDC แต่นั่นฟังดูแปลก - ตั้งแต่นั้นมา แคดมายด์ ทำการเปลี่ยนแปลงฐานข้อมูลโดยการเข้าถึงไฟล์ฐานข้อมูลโดยตรง อาจารย์ใหญ่ หรือ หลักตกลง (ไม่แน่ใจว่าอันไหนทำอะไร แต่โดยรวมแล้วพวกมันคือตัวที่เก็บฐานข้อมูลเอง)
ดังนั้นฉันจึงเข้าใจว่าฉันสามารถเรียกใช้งานการดูแลระบบจากเครื่องอื่นได้โดยใช้ แคดมิน - ยูทิลิตี้ kadmin เพียงแค่สื่อสารกับ แคดมายด์ ทำงานบนเครื่อง KDC หลัก แต่จะเป็นไปได้อย่างไรที่ แคดมายด์ ตัวเองทำงานบนเครื่องอื่น?
ความเป็นไปได้อย่างหนึ่งก็คือเครื่องที่มี แคดมายด์ อาจมีสำเนาของตัวเอง ของฐานข้อมูล สำเนาหลัก และ KDC ทั้งหมดมีเฉพาะสำเนาของมันเท่านั้น
ทั้ง MIT Krb5 และ Heimdal Kerberos มีเครื่องมือจำลอง เช่น kpropdเพื่อสร้างคลัสเตอร์ KDC ที่ซ้ำซ้อน ดังนั้น ในกรณีที่ง่ายที่สุด คุณสามารถมี KDC สามตัว แต่มีเพียงหนึ่งในนั้นที่รัน kadmind ด้วย กพร ถูกใช้เพื่อถ่ายโอนการเปลี่ยนแปลง (KDCs เองไม่ได้ทำการอัปเดตฐานข้อมูลอย่างถาวร นอกเหนือจากการเลือกติดตามเวลา "เข้าสู่ระบบครั้งล่าสุด" ดังนั้นการจำลองแบบจึงสามารถเป็นแบบทิศทางเดียวได้)
ในทำนองเดียวกัน คุณยังสามารถตั้งค่าคล้ายกับ "stealth master" ใน DNS โดยที่สำเนาหลักได้รับการจัดการจากเครื่องที่ไม่ได้เปิดเผยต่อไคลเอนต์ และการเปลี่ยนแปลงทั้งหมดจะถูกส่งไปยัง KDC ผ่าน kprop (หรือ rsync หรือพื้นฐาน การถ่ายโอนข้อมูล + โหลดผ่าน SSH)
ความเป็นไปได้อีกอย่างคือ KDC คือ ไม่ได้ใช้ที่เก็บข้อมูล BerkeleyDB แบบไฟล์ ในที่แรก. ทั้ง MIT Kerberos และ Heimdal สามารถใช้งานได้จริง เซิร์ฟเวอร์ LDAP เป็นฐานข้อมูล KDC และเมื่อคุณมีแล้ว แคดมายด์ กระบวนการสามารถเชื่อมต่อกับเซิร์ฟเวอร์ LDAP จากระยะไกล â จะไม่มี อาจารย์ใหญ่ ไฟล์ได้เลย
(เซิร์ฟเวอร์ LDAP หลายเครื่องยังรองรับการจำลองแบบหลายมาสเตอร์ ซึ่งสามารถใช้เพื่อสร้าง ทั้งหมด สำเนาที่เขียนได้ เช่น คุณสามารถมี 3 เครื่องที่รัน OpenLDAP + KDC + kadmin โดยทั้งหมดเป็น "เครื่องหลัก" เท่าๆ กัน
ถ้าคุณดูที่ Active Directory ของ Microsoft นั้นอ้างอิงจากไดเร็กทอรี LDAP ที่เก็บข้อมูลทั้งหมด รวมถึงข้อมูล KDC และ DNS และ DC ทั้งหมดจำลองการเปลี่ยนแปลงในทุกทิศทาง ไม่มีกระบวนการ 'kadmin' แยกต่างหาก แทนที่จะสร้างหลักการ Kerberos ผ่าน LDAP โดยเป็นส่วนหนึ่งของผู้ใช้โดยรวมหรือบัญชี mcahine และคุณสามารถสร้างรายการนั้นใน DC ใดก็ได้ที่คุณต้องการ)
คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา
