码头容器中的Kerberos KDC服务器

Question

为了方便起见，我正在码头容器上运行一个和Kadmin服务器实例。能够建立和运行它没有任何问题，只有提取重要的信任做一个码头数量。我还通过kldap模块将KDC连接到OpenLDAP。

但是，我看到一个可能的问题:每次重建时，KDC似乎会启动不同的密钥链或其他东西，这会导致旧的身份验证中断。所有这些都是有意义的，也不是一个问题。

我的问题是:是否可以将KDC的内部数据库(或者在哪里存储凭据)存储到坞卷中？如果是的话，我应该看哪一部分？

我的目标是，无论如何重建容器，我都可以连接到由旧容器创建的同一个旧的KDC数据库。这个是可能的吗？

Answer 1

仅仅将卷挂载到容器的默认KDC数据库路径(如docker run -v /var/local/docker-volumes/krb5kdc:/usr/local/var/krb5kdc <kdc_image> )还不够吗？或者，如果您希望容器中有不同的挂载点，也可以在您的领域配置中指定database_name选项。

Answer 2

您应该检查配置文件，kdc.conf。这将告诉您所使用的文件存储在何处。

当容器运行时，exec进入容器并找到kdc.conf文件。另外，krb5.conf文件将包含其他文件的位置。

https://web.mit.edu/kerberos/krb5-1.12/doc/admin/conf_档案/kdc_conf.html

kdc.conf The KDC configuration file contains configuration information for the KDC and admin servers. kadmind uses settings in this file to locate the Kerberos database, and is also affected by the acl_file, dict_file, kadmind_port, and iprop-related settings.

我怀疑您可能会遇到更改主机名和生成不同密钥的问题。

你可以看看下面这个项目所做的工作，看看他们是怎么做的。他们的解决方案是运行在MacOS (使用VirtualBox)的Docker中的Heimdal Kerberos 5。https://github.com/tillt/docker-kdc/blob/master/kdc