Dokumentasi<Sebelumnya | Konten | Selanjutnya>
4.2. Konfigurasi KDC Utama
Dengan konfigurasi OpenLDAP, saatnya untuk mengkonfigurasi KDC.
• Pertama, instal paket yang diperlukan, dari terminal masukkan:
sudo apt instal krb5-kdc krb5-admin-server krb5-kdc-ldap
• Sekarang edit /etc/krb5.conf menambahkan opsi berikut ke bawah bagian yang sesuai:
[libdefault]
default_realm = CONTOH.COM
...
[alam]
CONTOH.COM = {
kdc = kdc01.contoh.com kdc = kdc02.contoh.com
admin_server = kdc01.example.com admin_server = kdc02.example.com domain_default = contoh.com database_module = openldap_ldapconf
}
...
[ranah_domain]
.contoh.com = CONTOH.COM
...
[dbdefault]
ldap_kerberos_container_dn = cn=krbContainer,dc=contoh,dc=com
[dbmodul]
openldap_ldapconf = {
db_library = kldap
ldap_kdc_dn = "cn=admin,dc=contoh,dc=com"
# objek ini harus memiliki hak baca di
# wadah ranah, wadah utama, dan subpohon ranah ldap_kadmind_dn = "cn=admin,dc=example,dc=com"
# objek ini harus memiliki hak baca dan tulis
# wadah ranah, wadah utama, dan subpohon ranah ldap_service_password_file = /etc/krb5kdc/service.keyfile ldap_servers = ldaps://ldap01.example.com ldaps://ldap02.example.com ldap_conns_per_server = 5
}
Perubahan example.com, dc=contoh,dc=com, cn=admin,dc=contoh,dc=com, dan
ldap01.example.com ke domain yang sesuai, objek LDAP, dan server LDAP untuk jaringan Anda.
• Selanjutnya, gunakan utilitas kdb5_ldap_util untuk membuat ranah:
sudo kdb5_ldap_util -D cn=admin,dc=contoh,dc=com buat -subpohon \ dc=contoh,dc=com -r EXAMPLE.COM -s -H ldap://ldap01.example.com
• Buat simpanan sandi yang digunakan untuk mengikat ke server LDAP. Kata sandi ini digunakan oleh ldap_kdc_dn
dan ldap_kaadmin_dn pilihan di /etc/krb5.conf:
sudo kdb5_ldap_util -D cn=admin,dc=contoh,dc=com stashsrvpw -f \
/etc/krb5kdc/service.keyfile cn=admin,dc=contoh,dc=com
• Salin sertifikat CA dari server LDAP:
scp ldap01:/etc/ssl/certs/cacert.pem . sudo cp cacert.pem /etc/ssl/certs
Dan edit /etc/ldap/ldap.conf untuk menggunakan sertifikat:
TLS_CACERT /etc/ssl/certs/cacert.pem
Sertifikat juga perlu disalin ke KDC Sekunder, untuk memungkinkan koneksi ke server LDAP menggunakan LDAPS.
• Mulai KDC Kerberos dan server admin:
sudo systemctl mulai krb5-kdc.service
sudo systemctl mulai krb5-admin-server.layanan
Anda sekarang dapat menambahkan prinsip Kerberos ke database LDAP, dan prinsip tersebut akan disalin ke server LDAP lain yang dikonfigurasi untuk replikasi. Untuk menambahkan prinsipal menggunakan utilitas kadmin.local, masukkan:
sudo kaadmin.local
Mengautentikasi sebagai root utama/[email dilindungi] dengan kata sandi. kaadmin.lokal: addprinc -x dn="uid=steve,ou=people,dc=example,dc=com" steve PERINGATAN: tidak ada kebijakan yang ditentukan untuk [email dilindungi]; default tidak ada kebijakan Masukkan kata sandi untuk kepala sekolah "[email dilindungi]":
Masukkan kembali kata sandi untuk kepala sekolah "[email dilindungi]": Kepala sekolah "[email dilindungi]" dibuat.
Sekarang seharusnya ada atribut krbPrincipalName, krbPrincipalKey, krbLastPwdChange, dan krbExtraData ditambahkan ke uid=steve,ou=people,dc=contoh,dc=com objek pengguna. Gunakan utilitas kinit dan klist untuk menguji apakah pengguna memang mengeluarkan tiket.
Jika objek pengguna sudah dibuat, -x dn="..." opsi diperlukan untuk menambahkan atribut Kerberos. Jika tidak, baru utama objek akan dibuat di subpohon ranah.