Workstation online OnWorks Linux e Windows

Logo

Hosting online gratuito per workstation

<Precedenti | Contenuti | Succ.>

4.2. Configurazione KDC primaria


Con OpenLDAP configurato è il momento di configurare il KDC.

• Innanzitutto, installa i pacchetti necessari, da terminale inserisci:


sudo apt installa krb5-kdc krb5-admin-server krb5-kdc-ldap

• Ora modifica /etc/krb5.conf aggiungendo le seguenti opzioni nelle sezioni appropriate:


[libdefault]

default_realm = ESEMPIO.COM


...


[reami]

ESEMPIO.COM = {

kdc = kdc01.esempio.com kdc = kdc02.esempio.com

admin_server = kdc01.example.com admin_server = kdc02.example.com default_domain = esempio.com database_module = openldap_ldapconf

}


...


[dominio_regno]

.esempio.com = ESEMPIO.COM



...


[dbdefault]

ldap_kerberos_container_dn = cn=krbContainer,dc=esempio,dc=com


[moduli db]

openldap_ldapconf = {

libreria_db = kldap

ldap_kdc_dn = "cn=admin,dc=esempio,dc=com"


# questo oggetto deve avere i diritti di lettura su

# il contenitore del regno, il contenitore principale e gli alberi secondari del regno ldap_kadmind_dn = "cn=admin,dc=example,dc=com"


# questo oggetto deve avere i diritti di lettura e scrittura su

# il contenitore del dominio, il contenitore principale e gli alberi secondari del dominio ldap_service_password_file = /etc/krb5kdc/service.keyfile ldap_servers = ldaps://ldap01.example.com ldaps://ldap02.example.com ldap_conns_per_server = 5

}


Immagine

Cambiare example.com, dc=esempio, dc=com, cn=admin,dc=esempio,dc=come

ldap01.example.com al dominio, all'oggetto LDAP e al server LDAP appropriati per la rete.

• Successivamente, usa l'utility kdb5_ldap_util per creare il realm:


sudo kdb5_ldap_util -D cn=admin,dc=example,dc=com create -subtrees \ dc=example,dc=com -r EXAMPLE.COM -s -H ldap://ldap01.example.com

• Creare una scorta della password utilizzata per l'associazione al server LDAP. Questa password è utilizzata dal ldap_kdc_dn

e ldap_kadmin_dn opzioni /etc/krb5.conf:


sudo kdb5_ldap_util -D cn=admin,dc=esempio,dc=com stashsrvpw -f \

/etc/krb5kdc/service.keyfile cn=admin,dc=esempio,dc=com

• Copiare il certificato CA dal server LDAP:


scp ldap01:/etc/ssl/certs/cacert.pem . sudo cp cacert.pem /etc/ssl/certs


e modifica /etc/ldap/ldap.conf per utilizzare il certificato:


TLS_CACERT /etc/ssl/certs/cacert.pem


Immagine

Il certificato dovrà inoltre essere copiato nel KDC secondario, per consentire la connessione ai server LDAP tramite LDAPS.

• Avviare il KDC Kerberos e il server di amministrazione:


sudo systemctl avvia krb5-kdc.service



sudo systemctl avvia krb5-admin-server.service


Ora puoi aggiungere i principal Kerberos al database LDAP e verranno copiati su qualsiasi altro server LDAP configurato per la replica. Per aggiungere un principal utilizzando l'utility kadmin.local, immettere:


sudo kadmin.local

Autenticazione come root principale/[email protected] con password. kadmin.local: addprinc -x dn="uid=steve,ou=persone,dc=esempio,dc=com" steve ATTENZIONE: nessuna policy specificata per [email protected]; per impostazione predefinita nessuna policy Immettere la password per l'entità "[email protected]":

Reinserire la password per l'entità "[email protected]": Principale "[email protected]" creato.


Ora dovrebbero essere aggiunti gli attributi krbPrincipalName, krbPrincipalKey, krbLastPwdChange e krbExtraData al uid=steve,ou=persone,dc=esempio,dc=com oggetto utente. Utilizzare le utility kinit e klist per verificare che all'utente sia effettivamente emesso un ticket.


Immagine

Se l'oggetto utente è già stato creato, -x dn="..." è necessaria per aggiungere gli attributi Kerberos. Altrimenti un nuovo principale l'oggetto verrà creato nel sottoalbero del regno.


Il miglior sistema operativo cloud computing su OnWorks: