दस्तावेज़ीकरण4.2. प्राथमिक केडीसी कॉन्फ़िगरेशन
OpenLDAP कॉन्फ़िगर होने के साथ KDC को कॉन्फ़िगर करने का समय आ गया है।
• सबसे पहले, टर्मिनल से आवश्यक पैकेज स्थापित करें, दर्ज करें:
sudo apt इंस्टॉल krb5-kdc krb5-एडमिन-सर्वर krb5-kdc-ldap
• अब संपादित करें /etc/krb5.conf उपयुक्त अनुभागों के अंतर्गत निम्नलिखित विकल्प जोड़ना:
[libdefaults]
default_realm = EXAMPLE.COM
...
[क्षेत्रों]
उदाहरण.कॉम = {
केडीसी = kdc01.example.com केडीसी = kdc02.example.com
admin_server = kdc01.example.com admin_server = kdc02.example.com default_domain = example.com डेटाबेस_मॉड्यूल = openldap_ldapconf
}
...
[डोमेन_क्षेत्र]
.example.com = EXAMPLE.COM
...
[डीबीडिफ़ॉल्ट्स]
ldap_kerberos_container_dn = cn=krbContainer,dc=उदाहरण,dc=com
[डीबीमॉड्यूल]
openldap_ldapconf = {
db_library = kldap
ldap_kdc_dn = "cn=एडमिन,dc=उदाहरण,dc=com"
# इस ऑब्जेक्ट पर पढ़ने का अधिकार होना आवश्यक है
# क्षेत्र कंटेनर, प्रमुख कंटेनर और क्षेत्र उप-वृक्ष ldap_kadmind_dn = "cn=admin,dc=example,dc=com"
# इस ऑब्जेक्ट पर पढ़ने और लिखने का अधिकार होना आवश्यक है
# दायरे कंटेनर, प्रमुख कंटेनर और दायरे उप-वृक्ष ldap_service_password_file = /etc/krb5kdc/service.keyfile ldap_servers = ldaps://ldap01.example.com ldaps://ldap02.example.com ldap_conns_per_server = 5
}
परिवर्तन example.com, dc=उदाहरण,dc=com, cn=एडमिन,dc=उदाहरण,dc=com, तथा
ldap01.example.com आपके नेटवर्क के लिए उपयुक्त डोमेन, LDAP ऑब्जेक्ट और LDAP सर्वर पर।
• इसके बाद, क्षेत्र बनाने के लिए kdb5_ldap_util उपयोगिता का उपयोग करें:
sudo kdb5_ldap_util -D cn=admin,dc=example,dc=com create -subtrees \ dc=example,dc=com -r EXAMPLE.COM -s -H ldap://ldap01.example.com
• एलडीएपी सर्वर से जुड़ने के लिए उपयोग किए गए पासवर्ड का एक स्टैश बनाएं। इस पासवर्ड का उपयोग किया जाता है ldap_kdc_dn
और ldap_kadmin_dn में विकल्प /etc/krb5.conf:
sudo kdb5_ldap_util -D cn=admin,dc=example,dc=com stashsrvpw -f \
/etc/krb5kdc/service.keyfile cn=admin,dc=example,dc=com
• एलडीएपी सर्वर से सीए प्रमाणपत्र की प्रतिलिपि बनाएँ:
एससीपी ldap01:/etc/ssl/certs/cacert.pem। sudo cp cacert.pem /etc/ssl/certs
और संपादित करें /etc/ldap/ldap.conf प्रमाणपत्र का उपयोग करने के लिए:
TLS_CACERT /etc/ssl/certs/cacert.pem
एलडीएपीएस का उपयोग करके एलडीएपी सर्वर से कनेक्शन की अनुमति देने के लिए प्रमाणपत्र को माध्यमिक केडीसी में कॉपी करने की भी आवश्यकता होगी।
• केर्बरोस केडीसी और एडमिन सर्वर प्रारंभ करें:
sudo systemctl krb5-kdc.service प्रारंभ करें
sudo systemctl krb5-admin-server.service प्रारंभ करें
अब आप केर्बरोस प्रिंसिपलों को एलडीएपी डेटाबेस में जोड़ सकते हैं, और उन्हें प्रतिकृति के लिए कॉन्फ़िगर किए गए किसी भी अन्य एलडीएपी सर्वर पर कॉपी किया जाएगा। Kadmin.local उपयोगिता का उपयोग करके एक प्रिंसिपल जोड़ने के लिए दर्ज करें:
सुडो कैडमिन.लोकल
प्रमुख रूट के रूप में प्रमाणीकरण/[ईमेल संरक्षित] पासवर्ड के साथ. कैडमिन.स्थानीय: addprinc -x dn='uid=स्टीव, ou=लोग, dc=उदाहरण, dc=com' स्टीव चेतावनी: इसके लिए कोई नीति निर्दिष्ट नहीं है [ईमेल संरक्षित]; बिना किसी नीति के डिफ़ॉल्ट प्रिंसिपल के लिए पासवर्ड दर्ज करें "[ईमेल संरक्षित]":
प्रिंसिपल के लिए पासवर्ड पुनः दर्ज करें "[ईमेल संरक्षित]": प्रधानाचार्य "[ईमेल संरक्षित]" बनाया था।
अब इसमें krbPrincipalName, krbPrincipalKey, krbLastPwdChange और krbExtraData विशेषताएँ जोड़ी जानी चाहिए यूआईडी=स्टीव, कहां=लोग, डीसी=उदाहरण, डीसी=कॉम उपयोगकर्ता वस्तु. यह जांचने के लिए किइनिट और क्लिस्ट उपयोगिताओं का उपयोग करें कि उपयोगकर्ता को वास्तव में टिकट जारी किया गया है।
यदि उपयोगकर्ता ऑब्जेक्ट पहले से ही बनाया गया है -x dn='...' Kerberos विशेषताएँ जोड़ने के लिए विकल्प की आवश्यकता है। अन्यथा एक नया प्रमुख ऑब्जेक्ट दायरे उपवृक्ष में बनाया जाएगा।