Documentazione<Precedenti | Contenuti | Succ.>
4.2. Configurazione KDC primaria
Con OpenLDAP configurato è il momento di configurare il KDC.
• Innanzitutto, installa i pacchetti necessari, da terminale inserisci:
sudo apt installa krb5-kdc krb5-admin-server krb5-kdc-ldap
• Ora modifica /etc/krb5.conf aggiungendo le seguenti opzioni nelle sezioni appropriate:
[libdefault]
default_realm = ESEMPIO.COM
...
[reami]
ESEMPIO.COM = {
kdc = kdc01.esempio.com kdc = kdc02.esempio.com
admin_server = kdc01.example.com admin_server = kdc02.example.com default_domain = esempio.com database_module = openldap_ldapconf
}
...
[dominio_regno]
.esempio.com = ESEMPIO.COM
...
[dbdefault]
ldap_kerberos_container_dn = cn=krbContainer,dc=esempio,dc=com
[moduli db]
openldap_ldapconf = {
libreria_db = kldap
ldap_kdc_dn = "cn=admin,dc=esempio,dc=com"
# questo oggetto deve avere i diritti di lettura su
# il contenitore del regno, il contenitore principale e gli alberi secondari del regno ldap_kadmind_dn = "cn=admin,dc=example,dc=com"
# questo oggetto deve avere i diritti di lettura e scrittura su
# il contenitore del dominio, il contenitore principale e gli alberi secondari del dominio ldap_service_password_file = /etc/krb5kdc/service.keyfile ldap_servers = ldaps://ldap01.example.com ldaps://ldap02.example.com ldap_conns_per_server = 5
}
Cambiare example.com, dc=esempio, dc=com, cn=admin,dc=esempio,dc=come
ldap01.example.com al dominio, all'oggetto LDAP e al server LDAP appropriati per la rete.
• Successivamente, usa l'utility kdb5_ldap_util per creare il realm:
sudo kdb5_ldap_util -D cn=admin,dc=example,dc=com create -subtrees \ dc=example,dc=com -r EXAMPLE.COM -s -H ldap://ldap01.example.com
• Creare una scorta della password utilizzata per l'associazione al server LDAP. Questa password è utilizzata dal ldap_kdc_dn
e ldap_kadmin_dn opzioni /etc/krb5.conf:
sudo kdb5_ldap_util -D cn=admin,dc=esempio,dc=com stashsrvpw -f \
/etc/krb5kdc/service.keyfile cn=admin,dc=esempio,dc=com
• Copiare il certificato CA dal server LDAP:
scp ldap01:/etc/ssl/certs/cacert.pem . sudo cp cacert.pem /etc/ssl/certs
e modifica /etc/ldap/ldap.conf per utilizzare il certificato:
TLS_CACERT /etc/ssl/certs/cacert.pem
Il certificato dovrà inoltre essere copiato nel KDC secondario, per consentire la connessione ai server LDAP tramite LDAPS.
• Avviare il KDC Kerberos e il server di amministrazione:
sudo systemctl avvia krb5-kdc.service
sudo systemctl avvia krb5-admin-server.service
Ora puoi aggiungere i principal Kerberos al database LDAP e verranno copiati su qualsiasi altro server LDAP configurato per la replica. Per aggiungere un principal utilizzando l'utility kadmin.local, immettere:
sudo kadmin.local
Autenticazione come root principale/[email protected] con password. kadmin.local: addprinc -x dn="uid=steve,ou=persone,dc=esempio,dc=com" steve ATTENZIONE: nessuna policy specificata per [email protected]; per impostazione predefinita nessuna policy Immettere la password per l'entità "[email protected]":
Reinserire la password per l'entità "[email protected]": Principale "[email protected]" creato.
Ora dovrebbero essere aggiunti gli attributi krbPrincipalName, krbPrincipalKey, krbLastPwdChange e krbExtraData al uid=steve,ou=persone,dc=esempio,dc=com oggetto utente. Utilizzare le utility kinit e klist per verificare che all'utente sia effettivamente emesso un ticket.
Se l'oggetto utente è già stato creato, -x dn="..." è necessaria per aggiungere gli attributi Kerberos. Altrimenti un nuovo principale l'oggetto verrà creato nel sottoalbero del regno.