<Anterior | Contenido | Siguiente>
4.1. Configuración de OpenLDAP
Primero, el esquema necesario debe cargarse en un servidor OpenLDAP que tenga conectividad de red a los KDC primario y secundario. El resto de esta sección asume que también tiene la replicación LDAP configurada entre al menos dos servidores. Para obtener información sobre cómo configurar OpenLDAP, consulte la Sección 1, “Servidor OpenLDAP” [p. 115].
También es necesario configurar OpenLDAP para conexiones TLS y SSL, de modo que el tráfico entre el servidor KDC y LDAP esté cifrado. Consulte la Sección 1.8, “TLS” [p. 129] para obtener más detalles.
cn = admin, cn = config es un usuario que creamos con derechos para editar la base de datos ldap. Muchas veces es el RootDN. Cambie su valor para reflejar su configuración.
• Para cargar el esquema en LDAP, en el servidor LDAP instale el paquete krb5-kdc-ldap. Desde una terminal ingrese:
sudo apto instalar krb5-kdc-ldap
• A continuación, extraiga el Kerberos.schema.gz archivo:
sudo gzip -d /usr/share/doc/krb5-kdc-ldap/kerberos.schema.gz
sudo cp /usr/share/doc/krb5-kdc-ldap/kerberos.schema / etc / ldap / schema /
• El esquema de kerberos debe agregarse al árbol de configuración cn =. El procedimiento para agregar un nuevo esquema a slapd también se detalla en la Sección 1.4, “Modificación de la base de datos de configuración de slapd” [p. 120].
1. Primero, cree un archivo de configuración llamado esquema_convert.conf, o un nombre descriptivo similar, que contenga las siguientes líneas:
incluir /etc/ldap/schema/core.schema incluir /etc/ldap/schema/collective.schema incluir /etc/ldap/schema/corba.schema incluir /etc/ldap/schema/cosine.schema incluir / etc / ldap / schema / duaconf.schema incluyen /etc/ldap/schema/dyngroup.schema
incluir /etc/ldap/schema/inetorgperson.schema incluir /etc/ldap/schema/java.schema
incluir /etc/ldap/schema/misc.schema incluir /etc/ldap/schema/nis.schema incluir /etc/ldap/schema/openldap.schema incluir /etc/ldap/schema/ppolicy.schema incluir / etc / ldap / esquema / kerberos.schema
2. Cree un directorio temporal para almacenar los archivos LDIF:
mkdir / tmp / ldif_output
3. Ahora use slapcat para convertir los archivos de esquema:
slapcat -f schema_convert.conf -F / tmp / ldif_output -n0 -s \ "cn = {12} kerberos, cn = schema, cn = config"> /tmp/cn=kerberos.ldif
Cambie los nombres de archivo y ruta anteriores para que coincidan con los suyos si son diferentes.
4. Edite el generado /tmp/cn\=kerberos.ldif archivo, cambiando los siguientes atributos:
dn: cn = kerberos, cn = esquema, cn = config
...
CN: Kerberos
Y elimine las siguientes líneas del final del archivo:
tructuralObjectClass: olcSchemaConfig entryUUID: 18ccd010-746b-102d-9fbe-3760cca765dc creatorsName: cn = config
crear Marca de tiempo: 20090111203515Z
entradaCSN: 20090111203515.326445Z # 000000 # 000 # 000000
modificadoresNombre: cn = config modificar marca de tiempo: 20090111203515Z
Los valores de los atributos variarán, solo asegúrese de que se eliminen.
5. Cargue el nuevo esquema con ldapadd:
sudo ldapadd -Q -Y EXTERNO -H ldapi: /// -f /tmp/cn\=kerberos.ldif
6. Agregue un índice para el nombre principal krb5 atributo:
sudo ldapmodify -Q -Y EXTERNO -H ldapi: ///
dn: olcDatabase = {1} mdb, cn = config add: olcDbIndex
olcDbIndex: krbPrincipalName eq, pres, sub
modificando la entrada "olcDatabase = {1} mdb, cn = config"
7. Por último, actualice las listas de control de acceso (ACL):
sudo ldapmodify -Q -Y EXTERNO -H ldapi: ///
dn: olcDatabase = {1} mdb, cn = config reemplazar: olcAccess
olcAccess: to attrs = userPassword, shadowLastChange, krbPrincipalKey por dn = "cn = admin, dc = example, dc = com" escribir por autenticación anónima por autoescritura por * none
-
añadir: olcAccess
olcAccess: a dn.base = "" por * lectura
-
añadir: olcAccess
olcAccess: to * by dn = "cn = admin, dc = example, dc = com" write by * read
modificando la entrada "olcDatabase = {1} mdb, cn = config"
Eso es todo, su directorio LDAP ahora está listo para funcionar como una base de datos principal de Kerberos.