Stations de travail en ligne OnWorks Linux et Windows

Logo

Hébergement gratuit en ligne pour les postes de travail

<Précédent | Table des matières | Suivant>

4.2. Configuration du KDC principal


Avec OpenLDAP configuré, il est temps de configurer le KDC.

• Tout d'abord, installez les packages nécessaires, depuis un terminal entrez :


sudo apt installer krb5-kdc krb5-admin-server krb5-kdc-ldap

• Maintenant, modifiez /etc/krb5.conf en ajoutant les options suivantes sous les sections appropriées :


[libdefaults]

domaine_par défaut = EXEMPLE.COM



[royaumes]

EXEMPLE.COM = {

kdc = kdc01.exemple.com kdc = kdc02.exemple.com

admin_server = kdc01.example.com admin_server = kdc02.example.com default_domain = example.com database_module = openldap_ldapconf

}



[domaine_domaine]

.exemple.com = EXEMPLE.COM




[dbpar défaut]

ldap_kerberos_container_dn = cn=krbContainer,dc=exemple,dc=com


[modules de base de données]

openldap_ldapconf = {

db_library = kldap

ldap_kdc_dn = "cn=admin,dc=exemple,dc=com"


# cet objet doit avoir des droits de lecture sur

# le conteneur de domaine, le conteneur principal et les sous-arbres de domaine ldap_kadmind_dn = "cn=admin,dc=example,dc=com"


# cet objet doit avoir les droits de lecture et d'écriture sur

# le conteneur de domaine, le conteneur principal et les sous-arbres de domaine ldap_service_password_file = /etc/krb5kdc/service.keyfile ldap_servers = ldaps://ldap01.example.com ldaps://ldap02.example.com ldap_conns_per_server = 5

}


image

Modifier example.com, dc=exemple, dc=com, cn=admin,dc=exemple,dc=comet

ldap01.example.com vers le domaine, l'objet LDAP et le serveur LDAP appropriés pour votre réseau.

• Ensuite, utilisez l'utilitaire kdb5_ldap_util pour créer le domaine :


sudo kdb5_ldap_util -D cn=admin,dc=example,dc=com create -subtrees \ dc=example,dc=com -r EXAMPLE.COM -s -H ldap://ldap01.example.com

• Créez une cache du mot de passe utilisé pour se lier au serveur LDAP. Ce mot de passe est utilisé par le ldap_kdc_dn

ainsi que ldap_kadmin_dn options /etc/krb5.conf:


sudo kdb5_ldap_util -D cn=admin,dc=exemple,dc=com stashsrvpw -f \

/etc/krb5kdc/service.keyfile cn=admin,dc=exemple,dc=com

• Copiez le certificat CA depuis le serveur LDAP :


scp ldap01:/etc/ssl/certs/cacert.pem . sudo cp cacert.pem /etc/ssl/certs


Et modifier /etc/ldap/ldap.conf pour utiliser le certificat :


TLS_CACERT /etc/ssl/certs/cacert.pem


image

Le certificat devra également être copié sur le KDC secondaire, pour permettre la connexion aux serveurs LDAP à l'aide de LDAPS.

• Démarrez le KDC Kerberos et le serveur d'administration :


sudo systemctl démarrer krb5-kdc.service



sudo systemctl démarrer krb5-admin-server.service


Vous pouvez maintenant ajouter des principaux Kerberos à la base de données LDAP et ils seront copiés sur tout autre serveur LDAP configuré pour la réplication. Pour ajouter un principal à l'aide de l'utilitaire kadmin.local, saisissez :


sudo kadmin.local

Authentification en tant que racine principale/[email protected] avec mot de passe. kadmin.local : addprinc -x dn="uid=steve,ou=people,dc=example,dc=com" steve AVERTISSEMENT : aucune politique spécifiée pour [email protected]; par défaut, aucune politique. Entrez le mot de passe du principal "[email protected]":

Ressaisissez le mot de passe du principal "[email protected]": Principal "[email protected]" créé.


Il devrait maintenant y avoir des attributs krbPrincipalName, krbPrincipalKey, krbLastPwdChange et krbExtraData ajoutés au uid=steve,ou=personnes,dc=exemple,dc=com objet utilisateur. Utilisez les utilitaires kinit et klist pour vérifier que l'utilisateur a bien reçu un ticket.


image

Si l'objet utilisateur est déjà créé, le -x dn="..." est nécessaire pour ajouter les attributs Kerberos. Sinon un nouveau principal L'objet sera créé dans la sous-arborescence du domaine.


  

 

<Précédent | Table des matières | Suivant>

  

Meilleur système d'exploitation Cloud Computing chez OnWorks :