4.1. OpenLDAP の構成
まず、必要なスキーマを、プライマリ KDC とセカンダリ KDC にネットワーク接続できる OpenLDAP サーバーにロードする必要があります。 このセクションの残りの部分では、少なくとも 1 つのサーバー間で LDAP レプリケーションが構成されていることを前提としています。 OpenLDAP の設定の詳細については、セクション 115. 「OpenLDAP サーバー」 [p. XNUMX] を参照してください。 XNUMX]。
KDC と LDAP サーバー間のトラフィックが暗号化されるように、TLS および SSL 接続用に OpenLDAP を構成することも必要です。 セクション 1.8. 「TLS」 [p. 129] を参照してください。 詳細は「XNUMX」を参照してください。
cn=admin,cn=config は、LDAP データベースを編集する権限を持って作成されたユーザーです。 多くの場合、これは RootDN です。 設定を反映するように値を変更します。
• スキーマを LDAP にロードするには、LDAP サーバーに krb5-kdc-ldap パッケージをインストールします。 端末から次のように入力します。
sudo apt インストール krb5-kdc-ldap
• 次に、 kerberos.schema.gz ファイル:
sudo gzip -d /usr/share/doc/krb5-kdc-ldap/kerberos.schema.gz
sudo cp /usr/share/doc/krb5-kdc-ldap/kerberos.schema /etc/ldap/schema/
• kerberos スキーマを cn=config ツリーに追加する必要があります。 新しいスキーマをslapdに追加する手順については、1.4項 「slapd設定データベースの変更」 『p. 120』でも詳しく説明します。 XNUMX]。
1. まず、次の名前の設定ファイルを作成します。 schema_convert.conf、または次の行を含む同様のわかりやすい名前。
/etc/ldap/schema/core.schema を含む /etc/ldap/schema/collective.schema を含む /etc/ldap/schema/corba.schema を含む /etc/ldap/schema/cosine.schema を含む /etc/ldap/ schema/duaconf.schema には /etc/ldap/schema/dyngroup.schema が含まれます
/etc/ldap/schema/inetorgperson.schema を含む /etc/ldap/schema/java.schema を含む
/etc/ldap/schema/misc.schema を含む /etc/ldap/schema/nis.schema を含む /etc/ldap/schema/openldap.schema を含む /etc/ldap/schema/policy.schema を含む /etc/ldap/スキーマ/kerberos.schema
2. LDIF ファイルを保持する一時ディレクトリを作成します。
mkdir /tmp/ldif_output
3. 次に、slapcat を使用してスキーマ ファイルを変換します。
slapcat -f schema_convert.conf -F /tmp/ldif_output -n0 -s \ "cn={12}kerberos,cn=schema,cn=config" > /tmp/cn=kerberos.ldif
上記のファイル名とパス名が異なる場合は、自分のものと一致するように変更します。
4. 生成されたファイルを編集します /tmp/cn\=kerberos.ldif ファイルを編集し、次の属性を変更します。
dn: cn=kerberos、cn=スキーマ、cn=config
...
cn: ケルベロス
そして、ファイルの末尾から次の行を削除します。
構造オブジェクトクラス: olcSchemaConfig エントリUUID: 18ccd010-746b-102d-9fbe-3760cca765dc 作成者名: cn=config
作成タイムスタンプ: 20090111203515Z
エントリCSN: 20090111203515.326445Z#000000#000#000000
修飾子名: cn=configmodifyTimestamp: 20090111203515Z
属性値はさまざまですが、属性が削除されていることを確認してください。
5. ldapadd を使用して新しいスキーマをロードします。
sudo ldapadd -Q -Y EXTERNAL -H ldapi:/// -f /tmp/cn\=kerberos.ldif
6. インデックスを追加します。 krb5プリンシパル名 属性:
sudo ldapmodify -Q -Y EXTERNAL -H ldapi:///
dn: olcDatabase={1}mdb,cn=config 追加: olcDbIndex
olcDbIndex: krbPrincipalName eq、pres、sub
エントリ「olcDatabase={1}mdb,cn=config」を変更しています
7. 最後に、アクセス制御リスト (ACL) を更新します。
sudo ldapmodify -Q -Y EXTERNAL -H ldapi:///
dn: olcDatabase={1}mdb,cn=config 置換: olcAccess
olcAccess: attrs=userPassword,shadowLastChange,krbPrincipalKey by dn="cn=admin,dc=example,dc=com" 匿名認証による書き込み 自己書き込み * なし
-
追加: olcAccess
olcAccess: * 読み取りによる dn.base="" へ
-
追加: olcAccess
olcAccess: to * by dn="cn=admin,dc=example,dc=com" write by * read
エントリ「olcDatabase={1}mdb,cn=config」を変更しています
これで、LDAP ディレクトリが Kerberos プリンシパル データベースとして機能する準備が整いました。