4.2. Primäre KDC-Konfiguration
Nachdem OpenLDAP konfiguriert ist, ist es an der Zeit, das KDC zu konfigurieren.
• Installieren Sie zunächst die erforderlichen Pakete. Geben Sie an einem Terminal Folgendes ein:
sudo apt install krb5-kdc krb5-admin-server krb5-kdc-ldap
• Jetzt bearbeiten /etc/krb5.conf Fügen Sie in den entsprechenden Abschnitten die folgenden Optionen hinzu:
[libdefaults]
default_realm = EXAMPLE.COM
...
[Bereiche]
EXAMPLE.COM = {
kdc = kdc01.example.com kdc = kdc02.example.com
admin_server = kdc01.example.com admin_server = kdc02.example.com default_domain = example.com Datenbankmodul = openldap_ldapconf
}
...
[domain_realm]
.example.com = EXAMPLE.COM
...
[dbdefaults]
ldap_kerberos_container_dn = cn=krbContainer,dc=example,dc=com
[dbmodules]
openldap_ldapconf = {
db_library = kldap
ldap_kdc_dn = "cn=admin,dc=example,dc=com"
# Für dieses Objekt müssen Leserechte vorhanden sein
# der Realm-Container, der Hauptcontainer und die Realm-Unterbäume ldap_kadmind_dn = "cn=admin,dc=example,dc=com"
# Für dieses Objekt müssen Lese- und Schreibrechte vorhanden sein
# der Realm-Container, der Hauptcontainer und die Realm-Unterbäume ldap_service_password_file = /etc/krb5kdc/service.keyfile ldap_servers = ldaps://ldap01.example.com ldaps://ldap02.example.com ldap_conns_per_server = 5
}
Change example.com, dc=Beispiel,dc=com, cn=admin,dc=example,dc=com und
ldap01.example.com zur entsprechenden Domäne, zum LDAP-Objekt und zum LDAP-Server für Ihr Netzwerk.
• Als nächstes verwenden Sie das Dienstprogramm kdb5_ldap_util, um den Bereich zu erstellen:
sudo kdb5_ldap_util -D cn=admin,dc=example,dc=com create -subtrees \ dc=example,dc=com -r EXAMPLE.COM -s -H ldap://ldap01.example.com
• Erstellen Sie einen Vorrat des Passworts, das für die Verbindung zum LDAP-Server verwendet wird. Dieses Passwort wird von verwendet ldap_kdc_dn
und ldap_kadmin_dn Optionen in /etc/krb5.conf:
sudo kdb5_ldap_util -D cn=admin,dc=example,dc=com stashsrvpw -f \
/etc/krb5kdc/service.keyfile cn=admin,dc=example,dc=com
• Kopieren Sie das CA-Zertifikat vom LDAP-Server:
scp ldap01:/etc/ssl/certs/cacert.pem . sudo cp cacert.pem /etc/ssl/certs
Und bearbeiten /etc/ldap/ldap.conf Um das Zertifikat zu verwenden:
TLS_CACERT /etc/ssl/certs/cacert.pem
Das Zertifikat muss auch auf das sekundäre KDC kopiert werden, um die Verbindung zu den LDAP-Servern über LDAPS zu ermöglichen.
• Starten Sie den Kerberos-KDC und den Admin-Server:
sudo systemctl starte krb5-kdc.service
sudo systemctl startet krb5-admin-server.service
Sie können jetzt Kerberos-Prinzipale zur LDAP-Datenbank hinzufügen und diese werden auf alle anderen für die Replikation konfigurierten LDAP-Server kopiert. Um einen Prinzipal mit dem Dienstprogramm kadmin.local hinzuzufügen, geben Sie Folgendes ein:
sudo kadmin.local
Authentifizierung als Haupt-Root/[E-Mail geschützt] mit Passwort. kadmin.local: addprinc -x dn="uid=steve,ou=people,dc=example,dc=com" steve ACHTUNG: Keine Richtlinie angegeben für [E-Mail geschützt] ; Standardmäßig wird keine Richtlinie verwendet. Geben Sie das Passwort für den Hauptbenutzer ein.[E-Mail geschützt] ":
Geben Sie das Passwort für den Auftraggeber erneut ein.[E-Mail geschützt] ": Rektor "[E-Mail geschützt] " erstellt.
Es sollten nun die Attribute krbPrincipalName, krbPrincipalKey, krbLastPwdChange und krbExtraData hinzugefügt werden uid=steve,ou=people,dc=example,dc=com Benutzerobjekt. Verwenden Sie die Dienstprogramme kinit und klist, um zu testen, ob dem Benutzer tatsächlich ein Ticket ausgestellt wurde.
Wenn das Benutzerobjekt bereits erstellt wurde -x dn="..." Option ist erforderlich, um die Kerberos-Attribute hinzuzufügen. Ansonsten ein neues Haupt- Das Objekt wird im Realm-Unterbaum erstellt.