<Sebelumnya | Konten | Selanjutnya>
4.1. Mengonfigurasi OpenLDAP
Pertama, skema yang diperlukan perlu dimuat di server OpenLDAP yang memiliki konektivitas jaringan ke KDC Primer dan Sekunder. Sisa bagian ini mengasumsikan bahwa Anda juga memiliki replikasi LDAP yang dikonfigurasi antara setidaknya dua server. Untuk informasi tentang pengaturan OpenLDAP, lihat Bagian 1, “Server OpenLDAP” [hal. 115].
Itu juga diperlukan untuk mengonfigurasi OpenLDAP untuk koneksi TLS dan SSL, sehingga lalu lintas antara server KDC dan LDAP dienkripsi. Lihat Bagian 1.8, “TLS” [hal. 129] untuk rinciannya.
cn=admin,cn=config adalah pengguna yang kami buat dengan hak untuk mengedit database ldap. Sering kali itu adalah RootDN. Ubah nilainya untuk mencerminkan pengaturan Anda.
• Untuk memuat skema ke LDAP, di server LDAP instal paket krb5-kdc-ldap. Dari terminal masuk:
sudo tepat instal krb5-kdc-ldap
• Selanjutnya, ekstrak kerberos.schema.gz File:
sudo gzip -d /usr/share/doc/krb5-kdc-ldap/kerberos.schema.gz
sudo cp /usr/share/doc/krb5-kdc-ldap/kerberos.schema /etc/ldap/schema/
• Skema kerberos perlu ditambahkan ke pohon cn=config. Prosedur untuk menambahkan skema baru ke slapd juga dirinci di Bagian 1.4, “Memodifikasi Basis Data Konfigurasi slapd” [hal. 120].
1. Pertama, buat file konfigurasi bernama skema_convert.conf, atau nama deskriptif serupa, yang berisi baris berikut:
include /etc/ldap/schema/core.schema include /etc/ldap/schema/collective.schema include /etc/ldap/schema/corba.schema include /etc/ldap/schema/cosine.schema include /etc/ldap/ schema/duaconf.schema termasuk /etc/ldap/schema/dyngroup.schema
termasuk /etc/ldap/schema/inetorgperson.schema termasuk /etc/ldap/schema/java.schema
include /etc/ldap/schema/misc.schema include /etc/ldap/schema/nis.schema include /etc/ldap/schema/openldap.schema include /etc/ldap/schema/ppolicy.schema include /etc/ldap/ schema/kerberos.schema
2. Buat direktori sementara untuk menyimpan file LDIF:
mkdir /tmp/ldif_output
3. Sekarang gunakan slapcat untuk mengonversi file skema:
slapcat -f schema_convert.conf -F /tmp/ldif_output -n0 -s \ "cn={12}kerberos,cn=schema,cn=config" > /tmp/cn=kerberos.ldif
Ubah nama file dan jalur di atas agar sesuai dengan milik Anda jika berbeda.
4. Edit yang dihasilkan /tmp/cn\=kerberos.ldif file, mengubah atribut berikut:
dn: cn=kerberos,cn=skema,cn=config
...
cn: kerberos
Dan hapus baris berikut dari akhir file:
strukturalObjectClass: entri olcSchemaConfigUUID: 18ccd010-746b-102d-9fbe-3760cca765dc creatorsName: cn=config
buat stempel waktu: 20090111203515Z
entriCSN: 20090111203515.326445Z#000000#000#000000
modifiersName: cn=config memodifikasiTimestamp: 20090111203515Z
Nilai atribut akan bervariasi, pastikan atribut tersebut dihilangkan.
5. Muat skema baru dengan ldapadd:
sudo ldapadd -Q -Y EKSTERNAL -H ldapi:/// -f /tmp/cn\=kerberos.ldif
6. Tambahkan indeks untuk krb5nama utama atribut:
sudo ldapmodify -Q -Y EKSTERNAL -H ldapi:///
dn: olcDatabase={1}mdb,cn=config tambahkan: olcDbIndex
olcDbIndex: krbPrincipalName eq,pres,sub
memodifikasi entri "olcDatabase={1}mdb,cn=config"
7. Terakhir, perbarui Access Control Lists (ACL):
sudo ldapmodify -Q -Y EKSTERNAL -H ldapi:///
dn: olcDatabase={1}mdb,cn=config ganti: olcAccess
olcAccess: ke attrs=userPassword,shadowLastChange,krbPrincipalKey oleh dn="cn=admin,dc=example,dc=com" tulis oleh anonim auth oleh sendiri tulis oleh * none
-
tambahkan: olcAccess
olcAccess: ke dn.base="" dengan * baca
-
tambahkan: olcAccess
olcAccess: ke * oleh dn="cn=admin,dc=example,dc=com" tulis dengan * read
memodifikasi entri "olcDatabase={1}mdb,cn=config"
Itu saja, direktori LDAP Anda sekarang siap berfungsi sebagai basis data utama Kerberos.