<Précédent | Table des matières | Suivant>
4.2. Configuration du KDC principal
Avec OpenLDAP configuré, il est temps de configurer le KDC.
• Tout d'abord, installez les packages nécessaires, depuis un terminal entrez :
sudo apt installer krb5-kdc krb5-admin-server krb5-kdc-ldap
• Maintenant, modifiez /etc/krb5.conf en ajoutant les options suivantes sous les sections appropriées :
[libdefaults]
domaine_par défaut = EXEMPLE.COM
[royaumes]
EXEMPLE.COM = {
kdc = kdc01.exemple.com kdc = kdc02.exemple.com
admin_server = kdc01.example.com admin_server = kdc02.example.com default_domain = example.com database_module = openldap_ldapconf
}
[domaine_domaine]
.exemple.com = EXEMPLE.COM
[dbpar défaut]
ldap_kerberos_container_dn = cn=krbContainer,dc=exemple,dc=com
[modules de base de données]
openldap_ldapconf = {
db_library = kldap
ldap_kdc_dn = "cn=admin,dc=exemple,dc=com"
# cet objet doit avoir des droits de lecture sur
# le conteneur de domaine, le conteneur principal et les sous-arbres de domaine ldap_kadmind_dn = "cn=admin,dc=example,dc=com"
# cet objet doit avoir les droits de lecture et d'écriture sur
# le conteneur de domaine, le conteneur principal et les sous-arbres de domaine ldap_service_password_file = /etc/krb5kdc/service.keyfile ldap_servers = ldaps://ldap01.example.com ldaps://ldap02.example.com ldap_conns_per_server = 5
}
Modifier example.com, dc=exemple, dc=com, cn=admin,dc=exemple,dc=comet
ldap01.example.com vers le domaine, l'objet LDAP et le serveur LDAP appropriés pour votre réseau.
• Ensuite, utilisez l'utilitaire kdb5_ldap_util pour créer le domaine :
sudo kdb5_ldap_util -D cn=admin,dc=example,dc=com create -subtrees \ dc=example,dc=com -r EXAMPLE.COM -s -H ldap://ldap01.example.com
• Créez une cache du mot de passe utilisé pour se lier au serveur LDAP. Ce mot de passe est utilisé par le ldap_kdc_dn
ainsi que ldap_kadmin_dn options /etc/krb5.conf:
sudo kdb5_ldap_util -D cn=admin,dc=exemple,dc=com stashsrvpw -f \
/etc/krb5kdc/service.keyfile cn=admin,dc=exemple,dc=com
• Copiez le certificat CA depuis le serveur LDAP :
scp ldap01:/etc/ssl/certs/cacert.pem . sudo cp cacert.pem /etc/ssl/certs
Et modifier /etc/ldap/ldap.conf pour utiliser le certificat :
TLS_CACERT /etc/ssl/certs/cacert.pem
Le certificat devra également être copié sur le KDC secondaire, pour permettre la connexion aux serveurs LDAP à l'aide de LDAPS.
• Démarrez le KDC Kerberos et le serveur d'administration :
sudo systemctl démarrer krb5-kdc.service
sudo systemctl démarrer krb5-admin-server.service
Vous pouvez maintenant ajouter des principaux Kerberos à la base de données LDAP et ils seront copiés sur tout autre serveur LDAP configuré pour la réplication. Pour ajouter un principal à l'aide de l'utilitaire kadmin.local, saisissez :
sudo kadmin.local
Authentification en tant que racine principale/[email protected] avec mot de passe. kadmin.local : addprinc -x dn="uid=steve,ou=people,dc=example,dc=com" steve AVERTISSEMENT : aucune politique spécifiée pour [email protected]; par défaut, aucune politique. Entrez le mot de passe du principal "[email protected]":
Ressaisissez le mot de passe du principal "[email protected]": Principal "[email protected]" créé.
Il devrait maintenant y avoir des attributs krbPrincipalName, krbPrincipalKey, krbLastPwdChange et krbExtraData ajoutés au uid=steve,ou=personnes,dc=exemple,dc=com objet utilisateur. Utilisez les utilitaires kinit et klist pour vérifier que l'utilisateur a bien reçu un ticket.
Si l'objet utilisateur est déjà créé, le -x dn="..." est nécessaire pour ajouter les attributs Kerberos. Sinon un nouveau principal L'objet sera créé dans la sous-arborescence du domaine.