Dokumentation4.1. Konfigurieren von OpenLDAP
Zunächst muss das erforderliche Schema auf einen OpenLDAP-Server geladen werden, der über eine Netzwerkverbindung zum primären und sekundären KDCs verfügt. Im Rest dieses Abschnitts wird davon ausgegangen, dass Sie auch die LDAP-Replikation zwischen mindestens zwei Servern konfiguriert haben. Informationen zum Einrichten von OpenLDAP finden Sie in Abschnitt 1, „OpenLDAP-Server“ [S. 115].
Außerdem muss OpenLDAP für TLS- und SSL-Verbindungen konfiguriert werden, damit der Datenverkehr zwischen dem KDC und dem LDAP-Server verschlüsselt wird. Siehe Abschnitt 1.8, „TLS“ [S. 129] für Einzelheiten.
cn=admin,cn=config ist ein von uns erstellter Benutzer mit Rechten zum Bearbeiten der LDAP-Datenbank. Oft ist es der RootDN. Ändern Sie den Wert entsprechend Ihrem Setup.
• Um das Schema in LDAP zu laden, installieren Sie auf dem LDAP-Server das Paket krb5-kdc-ldap. Geben Sie an einem Terminal Folgendes ein:
sudo apt install krb5-kdc-ldap
• Als nächstes extrahieren Sie die kerberos.schema.gz Datei:
sudo gzip -d /usr/share/doc/krb5-kdc-ldap/kerberos.schema.gz
sudo cp /usr/share/doc/krb5-kdc-ldap/kerberos.schema /etc/ldap/schema/
• Das Kerberos-Schema muss zum cn=config-Baum hinzugefügt werden. Das Verfahren zum Hinzufügen eines neuen Schemas zu slapd wird auch in Abschnitt 1.4, „Ändern der slapd-Konfigurationsdatenbank“ [S. 120].
1. Erstellen Sie zunächst eine Konfigurationsdatei mit dem Namen schema_convert.confoder ein ähnlicher beschreibender Name, der die folgenden Zeilen enthält:
include /etc/ldap/schema/core.schema include /etc/ldap/schema/collective.schema include /etc/ldap/schema/corba.schema include /etc/ldap/schema/cosine.schema include /etc/ldap/ schema/duaconf.schema enthält /etc/ldap/schema/dyngroup.schema
include /etc/ldap/schema/inetorgperson.schema include /etc/ldap/schema/java.schema
include /etc/ldap/schema/misc.schema include /etc/ldap/schema/nis.schema include /etc/ldap/schema/openldap.schema include /etc/ldap/schema/ppolicy.schema include /etc/ldap/ schema/kerberos.schema
2. Erstellen Sie ein temporäres Verzeichnis für die LDIF-Dateien:
mkdir /tmp/ldif_output
3. Verwenden Sie nun slapcat, um die Schemadateien zu konvertieren:
slapcat -f schema_convert.conf -F /tmp/ldif_output -n0 -s \ "cn={12}kerberos,cn=schema,cn=config" > /tmp/cn=kerberos.ldif
Ändern Sie die oben genannten Datei- und Pfadnamen so, dass sie mit Ihren eigenen übereinstimmen, falls sie unterschiedlich sind.
4. Bearbeiten Sie das generierte /tmp/cn\=kerberos.ldif Datei und ändert dabei die folgenden Attribute:
dn: cn=kerberos,cn=schema,cn=config
...
cn: Kerberos
Und entfernen Sie die folgenden Zeilen vom Ende der Datei:
strukturelleObjektklasse: olcSchemaConfig-EintragUUID: 18ccd010-746b-102d-9fbe-3760cca765dc Erstellername: cn=config
createTimestamp: 20090111203515Z
EintragCSN: 20090111203515.326445Z#000000#000#000000
modifiersName: cn=config changesTimestamp: 20090111203515Z
Die Attributwerte variieren. Stellen Sie jedoch sicher, dass die Attribute entfernt werden.
5. Laden Sie das neue Schema mit ldapadd:
sudo ldapadd -Q -Y EXTERNAL -H ldapi:/// -f /tmp/cn\=kerberos.ldif
6. Fügen Sie einen Index für hinzu krb5principalname Attribut:
sudo ldapmodify -Q -Y EXTERNAL -H ldapi:///
dn: olcDatabase={1}mdb,cn=config add: olcDbIndex
olcDbIndex: krbPrincipalName eq,pres,sub
Änderung des Eintrags „olcDatabase={1}mdb,cn=config“
7. Aktualisieren Sie abschließend die Zugriffskontrolllisten (ACL):
sudo ldapmodify -Q -Y EXTERNAL -H ldapi:///
dn: olcDatabase={1}mdb,cn=config ersetzen: olcAccess
olcAccess: zu attrs=userPassword,shadowLastChange,krbPrincipalKey von dn="cn=admin,dc=example,dc=com" schreiben durch anonyme Authentifizierung durch Selbstschreiben durch * keine
-
hinzufügen: olcAccess
olcAccess: zu dn.base="" durch * lesen
-
hinzufügen: olcAccess
olcAccess: to * by dn="cn=admin,dc=example,dc=com" write by * read
Änderung des Eintrags „olcDatabase={1}mdb,cn=config“
Das war's, Ihr LDAP-Verzeichnis ist jetzt bereit, als Kerberos-Prinzipaldatenbank zu dienen.