OnWorks Linux و Windows Online WorkStations

الشعار

استضافة مجانية على الإنترنت لمحطات العمل

<السابق | المحتويات | التالي>

4.2 تكوين KDC الأساسي


مع تكوين OpenLDAP ، حان الوقت لتكوين مركز توزيع المفاتيح.

• أولاً ، قم بتثبيت الحزم الضرورية ، من خلال الجهاز أدخل:


Sudo apt تثبيت krb5-kdc krb5-admin-server krb5-kdc-ldap

• تحرير الآن /etc/krb5.conf إضافة الخيارات التالية إلى الأقسام المناسبة:


[افتراضات افتراضية]

default_realm = EXAMPLE.COM



[العوالم]

EXAMPLE.COM = {

كي دي سي = kdc01.example.com كي دي سي = kdc02.example.com

admin_server = kdc01.example.com admin_server = kdc02.example.com default_domain = example.com قاعدة البيانات_module = openldap_ldapconf

}



[domain_realm]

.example.com = EXAMPLE.COM




[افتراضات]

ldap_kerberos_container_dn = cn = krbContainer ، dc = مثال ، dc = com


[وحدات dbmodules]

openldap_ldapconf = {

db_library = kldap

ldap_kdc_dn = "cn = admin، dc = example، dc = com"


# يحتاج هذا الكائن إلى قراءة حقوق التشغيل

# حاوية المجال والحاوية الرئيسية والأشجار الفرعية للمجال ldap_kadmind_dn = "cn = admin ، dc = example ، dc = com"


# هذا الكائن يحتاج إلى حقوق القراءة والكتابة عليه

# حاوية المجال والحاوية الرئيسية والأشجار الفرعية للمجال ldap_service_password_file = /etc/krb5kdc/service.keyfile ldap_servers = ldaps: //ldap01.example.com ldaps: //ldap02.example.com ldap_conns_per_server = 5

}


صورة

التغيير example.com, dc = مثال ، dc = com, cn = admin ، dc = example ، dc = comو

ldap01.example.com إلى المجال المناسب وكائن LDAP وخادم LDAP لشبكتك.

• بعد ذلك ، استخدم الأداة المساعدة kdb5_ldap_util لإنشاء المجال:


sudo kdb5_ldap_util -D cn = admin، dc = example، dc = com create -subtrees \ dc = example، dc = com -r EXAMPLE.COM -s -H ldap: //ldap01.example.com

• إنشاء مخبأ من كلمة المرور المستخدمة لربط خادم LDAP. يتم استخدام كلمة المرور هذه من قبل ldap_kdc_dn

و ldap_kadmin_dn الخيارات /etc/krb5.conf:


sudo kdb5_ldap_util -D cn = admin ، dc = مثال ، dc = com stashsrvpw -f \

/etc/krb5kdc/service.keyfile cn = admin ، dc = مثال ، dc = com

• انسخ شهادة CA من خادم LDAP:


scp ldap01: /etc/ssl/certs/cacert.pem. sudo cp cacert.pem / etc / ssl / certs


وتحرير /etc/ldap/ldap.conf لاستخدام الشهادة:


TLS_CACERT /etc/ssl/certs/cacert.pem


صورة

يجب أيضًا نسخ الشهادة إلى مركز توزيع المفاتيح الثانوي ، للسماح بالاتصال بخوادم LDAP باستخدام LDAPS.

• ابدأ Kerberos KDC وخادم المسؤول:


sudo systemctl ابدأ خدمة krb5-kdc



sudo systemctl ابدأ krb5-admin-server.service


يمكنك الآن إضافة أساسيات Kerberos إلى قاعدة بيانات LDAP ، وسيتم نسخها إلى أي خوادم LDAP أخرى تم تكوينها للنسخ المتماثل. لإضافة رأس مال باستخدام الأداة المساعدة kadmin.local ، أدخل:


سودو kadmin.local

المصادقة كجذر رئيسي/[البريد الإلكتروني محمي] مع كلمة المرور. كاظمين محلي: addprinc -x dn = "uid = steve، ou = people، dc = example، dc = com" steve تحذير: لم يتم تحديد أي سياسة لـ [البريد الإلكتروني محمي]; التخلف عن عدم وجود سياسة أدخل كلمة المرور للمدير "[البريد الإلكتروني محمي]":

أعد إدخال كلمة المرور للمدير "[البريد الإلكتروني محمي]": رئيسي "[البريد الإلكتروني محمي]" مخلوق.


يجب الآن إضافة سمات krbPrincipalName و krbPrincipalKey و krbLastPwdChange و krbExtraData إلى uid = steve، ou = people، dc = مثال، dc = com كائن المستخدم. استخدم الأدوات المساعدة kinit و klist لاختبار ما إذا كان المستخدم قد أصدر بالفعل تذكرة.


صورة

إذا تم إنشاء كائن المستخدم بالفعل -x dn = "..." هناك حاجة إلى الخيار لإضافة سمات Kerberos. خلاف ذلك جديدة ناظر سيتم إنشاء الكائن في الشجرة الفرعية للمملكة.


  

 

<السابق | المحتويات | التالي>

  

أفضل الحوسبة السحابية لنظام التشغيل في OnWorks: