Documentation<Précédent | Table des matières | Suivant>
4.1. Configuration d'OpenLDAP
Tout d'abord, le schéma nécessaire doit être chargé sur un serveur OpenLDAP disposant d'une connectivité réseau aux KDC primaire et secondaire. Le reste de cette section suppose que vous avez également configuré la réplication LDAP entre au moins deux serveurs. Pour plus d'informations sur la configuration d'OpenLDAP, reportez-vous à la Section 1, « Serveur OpenLDAP » [p. 115].
Il est également nécessaire de configurer OpenLDAP pour les connexions TLS et SSL, afin que le trafic entre le KDC et le serveur LDAP soit crypté. Voir Section 1.8, « TLS » [p. 129] pour plus de détails.
cn=admin,cn=config est un utilisateur que nous avons créé avec le droit de modifier la base de données LDAP. Plusieurs fois, c'est le RootDN. Modifiez sa valeur pour refléter votre configuration.
• Pour charger le schéma dans LDAP, installez sur le serveur LDAP le package krb5-kdc-ldap. Depuis un terminal entrez :
sudo apt installer krb5-kdc-ldap
• Ensuite, extrayez le kerberos.schema.gz fichier:
sudo gzip -d /usr/share/doc/krb5-kdc-ldap/kerberos.schema.gz
sudo cp /usr/share/doc/krb5-kdc-ldap/kerberos.schema /etc/ldap/schema/
• Le schéma kerberos doit être ajouté à l'arborescence cn=config. La procédure pour ajouter un nouveau schéma à slapd est également détaillée dans Section 1.4, « Modification de la base de données de configuration slapd » [p. 120].
1. Tout d'abord, créez un fichier de configuration nommé schéma_convert.conf, ou un nom descriptif similaire, contenant les lignes suivantes :
inclure /etc/ldap/schema/core.schema inclure /etc/ldap/schema/collective.schema inclure /etc/ldap/schema/corba.schema inclure /etc/ldap/schema/cosine.schema inclure /etc/ldap/ schema/duaconf.schema inclure /etc/ldap/schema/dyngroup.schema
inclure /etc/ldap/schema/inetorgperson.schema inclure /etc/ldap/schema/java.schema
inclure /etc/ldap/schema/misc.schema inclure /etc/ldap/schema/nis.schema inclure /etc/ldap/schema/openldap.schema inclure /etc/ldap/schema/ppolicy.schema inclure /etc/ldap/ schema/kerberos.schema
2. Créez un répertoire temporaire pour contenir les fichiers LDIF :
mkdir /tmp/ldif_output
3. Utilisez maintenant slapcat pour convertir les fichiers de schéma :
slapcat -f schema_convert.conf -F /tmp/ldif_output -n0 -s \ "cn={12}kerberos,cn=schema,cn=config" > /tmp/cn=kerberos.ldif
Modifiez les noms de fichier et de chemin ci-dessus pour qu'ils correspondent aux vôtres s'ils sont différents.
4. Modifier le généré /tmp/cn\=kerberos.ldif fichier, en modifiant les attributs suivants :
dn : cn=kerberos,cn=schéma,cn=config
cn : kerberos
Et supprimez les lignes suivantes à la fin du fichier :
structuralObjectClass : olcSchemaConfig entryUUID : 18ccd010-746b-102d-9fbe-3760cca765dc CreatorsName : cn=config
createTimestamp : 20090111203515Z
entréeCSN : 20090111203515.326445Z#000000#000#000000
modifiersName : cn=config modifyTimestamp : 20090111203515Z
Les valeurs des attributs varieront, assurez-vous simplement que les attributs sont supprimés.
5. Chargez le nouveau schéma avec ldapadd :
sudo ldapadd -Q -Y EXTERNE -H ldapi:/// -f /tmp/cn\=kerberos.ldif
6. Ajoutez un index pour le krb5nomprincipal attribut:
sudo ldapmodify -Q -Y EXTERNE -H ldapi:///
dn : olcDatabase={1}mdb,cn=config ajouter : olcDbIndex
olcDbIndex : krbPrincipalName eq,pres,sub
modification de l'entrée "olcDatabase={1}mdb,cn=config"
7. Enfin, mettez à jour les listes de contrôle d'accès (ACL) :
sudo ldapmodify -Q -Y EXTERNE -H ldapi:///
dn : olcDatabase={1}mdb,cn=config remplacer : olcAccess
olcAccess : à attrs=userPassword,shadowLastChange,krbPrincipalKey par dn="cn=admin,dc=example,dc=com" écrire par authentification anonyme par auto-écrire par * aucun
-
ajouter : olcAccess
olcAccess : à dn.base="" par * lire
-
ajouter : olcAccess
olcAccess : à * par dn="cn=admin,dc=example,dc=com" écriture par * lecture
modification de l'entrée "olcDatabase={1}mdb,cn=config"
Ça y est, votre annuaire LDAP est maintenant prêt à servir de base de données principale Kerberos.