OnWorks Linux ו-Windows Online WorkStations

לוגו

אירוח מקוון בחינם עבור תחנות עבודה

<הקודם | תוכן | הבא>

4.2. תצורת KDC ראשית


עם תצורת OpenLDAP הגיע הזמן להגדיר את ה-KDC.

• ראשית, התקן את החבילות הדרושות, ממסוף הזן:


sudo apt להתקין krb5-kdc krb5-admin-server krb5-kdc-ldap

• כעת ערוך /etc/krb5.conf הוספת האפשרויות הבאות מתחת לסעיפים המתאימים:


[libdefaults]

default_realm = EXAMPLE.COM


...


[ממלכות]

EXAMPLE.COM = {

kdc = kdc01.example.com kdc = kdc02.example.com

admin_server = kdc01.example.com admin_server = kdc02.example.com default_domain = example.com database_module = openldap_ldapconf

}


...


[domain_realm]

.example.com = EXAMPLE.COM



...


[dbdefaults]

ldap_kerberos_container_dn = cn=krbContainer,dc=example,dc=com


[dbmodules]

openldap_ldapconf = {

db_library = kldap

ldap_kdc_dn = "cn=admin,dc=example,dc=com"


# לאובייקט זה צריך להיות זכויות קריאה

# המיכל, המיכל הראשי ותתי-עצי הממלכה ldap_kadmind_dn = "cn=admin,dc=example,dc=com"


# לאובייקט זה צריך להיות זכויות קריאה וכתיבה

# מיכל הממלכה, המיכל הראשי ותתי-עצי הממלכה ldap_service_password_file = /etc/krb5kdc/service.keyfile ldap_servers = ldaps://ldap01.example.com ldaps://ldap02.example.com ldap_conns_per_server = 5

}


תמונה

שינוי example.com, dc=example,dc=com, cn=admin,dc=example,dc=com, ו

ldap01.example.com לדומיין, אובייקט LDAP ושרת LDAP המתאים עבור הרשת שלך.

• לאחר מכן, השתמש בכלי השירות kdb5_ldap_util כדי ליצור את התחום:


sudo kdb5_ldap_util -D cn=admin,dc=example,dc=com create -subtrees \ dc=example,dc=com -r EXAMPLE.COM -s -H ldap://ldap01.example.com

• צור מחסנית של הסיסמה המשמשת לחיבור לשרת LDAP. סיסמה זו משמשת את ldap_kdc_dn

ו ldap_kadmin_dn אפשרויות ב /etc/krb5.conf:


sudo kdb5_ldap_util -D cn=admin,dc=example,dc=com stashsrvpw -f \

/etc/krb5kdc/service.keyfile cn=admin,dc=example,dc=com

• העתק את אישור ה-CA משרת LDAP:


scp ldap01:/etc/ssl/certs/cacert.pem . sudo cp cacert.pem /etc/ssl/certs


וגם לערוך /etc/ldap/ldap.conf כדי להשתמש בתעודה:


TLS_CACERT /etc/ssl/certs/cacert.pem


תמונה

כמו כן, יהיה צורך להעתיק את האישור ל-KDC המשני, כדי לאפשר את החיבור לשרתי LDAP באמצעות LDAPS.

• הפעל את Kerberos KDC ואת שרת הניהול:


sudo systemctl התחל krb5-kdc.service



sudo systemctl הפעל את krb5-admin-server.service


כעת תוכל להוסיף עקרונות Kerberos למסד הנתונים של LDAP, והם יועתקו לכל שרתי LDAP אחרים שהוגדרו לשכפול. כדי להוסיף מנהל באמצעות כלי השירות kadmin.local הזן:


sudo kadmin.local

אימות כשורש ראשי/[מוגן בדוא"ל] עם סיסמה. kadmin.local: addprinc -x dn="uid=steve,ou=people,dc=example,dc=com" סטיב אזהרה: לא צוינה מדיניות עבור [מוגן בדוא"ל]; ברירת מחדל ללא מדיניות הזן סיסמה עבור המנהל "[מוגן בדוא"ל]":

הזן מחדש את הסיסמה למנהל "[מוגן בדוא"ל]": מנהל"[מוגן בדוא"ל]"נוצר.


כעת אמורות להתווסף תכונות krbPrincipalName, krbPrincipalKey, krbLastPwdChange ו-krbExtraData ל- uid=steve,ou=people,dc=example,dc=com אובייקט משתמש. השתמש בכלי השירות kinit ו- klist כדי לבדוק שאכן הונפק למשתמש כרטיס.


תמונה

אם אובייקט המשתמש כבר נוצר -x dn="..." נדרשת אפשרות כדי להוסיף את תכונות Kerberos. אחרת חדש ראשי האובייקט ייווצר בתת-עץ הממלכה.


  

 

<הקודם | תוכן | הבא>

  

מחשוב ענן מערכת ההפעלה המוביל ב-OnWorks: