4.2 تكوين KDC الأساسي
مع تكوين OpenLDAP ، حان الوقت لتكوين مركز توزيع المفاتيح.
• أولاً ، قم بتثبيت الحزم الضرورية ، من خلال الجهاز أدخل:
Sudo apt تثبيت krb5-kdc krb5-admin-server krb5-kdc-ldap
• تحرير الآن /etc/krb5.conf إضافة الخيارات التالية إلى الأقسام المناسبة:
[افتراضات افتراضية]
default_realm = EXAMPLE.COM
[العوالم]
EXAMPLE.COM = {
كي دي سي = kdc01.example.com كي دي سي = kdc02.example.com
admin_server = kdc01.example.com admin_server = kdc02.example.com default_domain = example.com قاعدة البيانات_module = openldap_ldapconf
}
[domain_realm]
.example.com = EXAMPLE.COM
[افتراضات]
ldap_kerberos_container_dn = cn = krbContainer ، dc = مثال ، dc = com
[وحدات dbmodules]
openldap_ldapconf = {
db_library = kldap
ldap_kdc_dn = "cn = admin، dc = example، dc = com"
# يحتاج هذا الكائن إلى قراءة حقوق التشغيل
# حاوية المجال والحاوية الرئيسية والأشجار الفرعية للمجال ldap_kadmind_dn = "cn = admin ، dc = example ، dc = com"
# هذا الكائن يحتاج إلى حقوق القراءة والكتابة عليه
# حاوية المجال والحاوية الرئيسية والأشجار الفرعية للمجال ldap_service_password_file = /etc/krb5kdc/service.keyfile ldap_servers = ldaps: //ldap01.example.com ldaps: //ldap02.example.com ldap_conns_per_server = 5
}
التغيير example.com, dc = مثال ، dc = com, cn = admin ، dc = example ، dc = comو
ldap01.example.com إلى المجال المناسب وكائن LDAP وخادم LDAP لشبكتك.
• بعد ذلك ، استخدم الأداة المساعدة kdb5_ldap_util لإنشاء المجال:
sudo kdb5_ldap_util -D cn = admin، dc = example، dc = com create -subtrees \ dc = example، dc = com -r EXAMPLE.COM -s -H ldap: //ldap01.example.com
• إنشاء مخبأ من كلمة المرور المستخدمة لربط خادم LDAP. يتم استخدام كلمة المرور هذه من قبل ldap_kdc_dn
و ldap_kadmin_dn الخيارات /etc/krb5.conf:
sudo kdb5_ldap_util -D cn = admin ، dc = مثال ، dc = com stashsrvpw -f \
/etc/krb5kdc/service.keyfile cn = admin ، dc = مثال ، dc = com
• انسخ شهادة CA من خادم LDAP:
scp ldap01: /etc/ssl/certs/cacert.pem. sudo cp cacert.pem / etc / ssl / certs
وتحرير /etc/ldap/ldap.conf لاستخدام الشهادة:
TLS_CACERT /etc/ssl/certs/cacert.pem
يجب أيضًا نسخ الشهادة إلى مركز توزيع المفاتيح الثانوي ، للسماح بالاتصال بخوادم LDAP باستخدام LDAPS.
• ابدأ Kerberos KDC وخادم المسؤول:
sudo systemctl ابدأ خدمة krb5-kdc
sudo systemctl ابدأ krb5-admin-server.service
يمكنك الآن إضافة أساسيات Kerberos إلى قاعدة بيانات LDAP ، وسيتم نسخها إلى أي خوادم LDAP أخرى تم تكوينها للنسخ المتماثل. لإضافة رأس مال باستخدام الأداة المساعدة kadmin.local ، أدخل:
سودو kadmin.local
المصادقة كجذر رئيسي/[البريد الإلكتروني محمي] مع كلمة المرور. كاظمين محلي: addprinc -x dn = "uid = steve، ou = people، dc = example، dc = com" steve تحذير: لم يتم تحديد أي سياسة لـ [البريد الإلكتروني محمي]; التخلف عن عدم وجود سياسة أدخل كلمة المرور للمدير "[البريد الإلكتروني محمي]":
أعد إدخال كلمة المرور للمدير "[البريد الإلكتروني محمي]": رئيسي "[البريد الإلكتروني محمي]" مخلوق.
يجب الآن إضافة سمات krbPrincipalName و krbPrincipalKey و krbLastPwdChange و krbExtraData إلى uid = steve، ou = people، dc = مثال، dc = com كائن المستخدم. استخدم الأدوات المساعدة kinit و klist لاختبار ما إذا كان المستخدم قد أصدر بالفعل تذكرة.
إذا تم إنشاء كائن المستخدم بالفعل -x dn = "..." هناك حاجة إلى الخيار لإضافة سمات Kerberos. خلاف ذلك جديدة ناظر سيتم إنشاء الكائن في الشجرة الفرعية للمملكة.