4.2. תצורת KDC ראשית
עם תצורת OpenLDAP הגיע הזמן להגדיר את ה-KDC.
• ראשית, התקן את החבילות הדרושות, ממסוף הזן:
sudo apt להתקין krb5-kdc krb5-admin-server krb5-kdc-ldap
• כעת ערוך /etc/krb5.conf הוספת האפשרויות הבאות מתחת לסעיפים המתאימים:
[libdefaults]
default_realm = EXAMPLE.COM
...
[ממלכות]
EXAMPLE.COM = {
kdc = kdc01.example.com kdc = kdc02.example.com
admin_server = kdc01.example.com admin_server = kdc02.example.com default_domain = example.com database_module = openldap_ldapconf
}
...
[domain_realm]
.example.com = EXAMPLE.COM
...
[dbdefaults]
ldap_kerberos_container_dn = cn=krbContainer,dc=example,dc=com
[dbmodules]
openldap_ldapconf = {
db_library = kldap
ldap_kdc_dn = "cn=admin,dc=example,dc=com"
# לאובייקט זה צריך להיות זכויות קריאה
# המיכל, המיכל הראשי ותתי-עצי הממלכה ldap_kadmind_dn = "cn=admin,dc=example,dc=com"
# לאובייקט זה צריך להיות זכויות קריאה וכתיבה
# מיכל הממלכה, המיכל הראשי ותתי-עצי הממלכה ldap_service_password_file = /etc/krb5kdc/service.keyfile ldap_servers = ldaps://ldap01.example.com ldaps://ldap02.example.com ldap_conns_per_server = 5
}
שינוי example.com, dc=example,dc=com, cn=admin,dc=example,dc=com, ו
ldap01.example.com לדומיין, אובייקט LDAP ושרת LDAP המתאים עבור הרשת שלך.
• לאחר מכן, השתמש בכלי השירות kdb5_ldap_util כדי ליצור את התחום:
sudo kdb5_ldap_util -D cn=admin,dc=example,dc=com create -subtrees \ dc=example,dc=com -r EXAMPLE.COM -s -H ldap://ldap01.example.com
• צור מחסנית של הסיסמה המשמשת לחיבור לשרת LDAP. סיסמה זו משמשת את ldap_kdc_dn
ו ldap_kadmin_dn אפשרויות ב /etc/krb5.conf:
sudo kdb5_ldap_util -D cn=admin,dc=example,dc=com stashsrvpw -f \
/etc/krb5kdc/service.keyfile cn=admin,dc=example,dc=com
• העתק את אישור ה-CA משרת LDAP:
scp ldap01:/etc/ssl/certs/cacert.pem . sudo cp cacert.pem /etc/ssl/certs
וגם לערוך /etc/ldap/ldap.conf כדי להשתמש בתעודה:
TLS_CACERT /etc/ssl/certs/cacert.pem
כמו כן, יהיה צורך להעתיק את האישור ל-KDC המשני, כדי לאפשר את החיבור לשרתי LDAP באמצעות LDAPS.
• הפעל את Kerberos KDC ואת שרת הניהול:
sudo systemctl התחל krb5-kdc.service
sudo systemctl הפעל את krb5-admin-server.service
כעת תוכל להוסיף עקרונות Kerberos למסד הנתונים של LDAP, והם יועתקו לכל שרתי LDAP אחרים שהוגדרו לשכפול. כדי להוסיף מנהל באמצעות כלי השירות kadmin.local הזן:
sudo kadmin.local
אימות כשורש ראשי/[מוגן בדוא"ל] עם סיסמה. kadmin.local: addprinc -x dn="uid=steve,ou=people,dc=example,dc=com" סטיב אזהרה: לא צוינה מדיניות עבור [מוגן בדוא"ל]; ברירת מחדל ללא מדיניות הזן סיסמה עבור המנהל "[מוגן בדוא"ל]":
הזן מחדש את הסיסמה למנהל "[מוגן בדוא"ל]": מנהל"[מוגן בדוא"ל]"נוצר.
כעת אמורות להתווסף תכונות krbPrincipalName, krbPrincipalKey, krbLastPwdChange ו-krbExtraData ל- uid=steve,ou=people,dc=example,dc=com אובייקט משתמש. השתמש בכלי השירות kinit ו- klist כדי לבדוק שאכן הונפק למשתמש כרטיס.
אם אובייקט המשתמש כבר נוצר -x dn="..." נדרשת אפשרות כדי להוסיף את תכונות Kerberos. אחרת חדש ראשי האובייקט ייווצר בתת-עץ הממלכה.