dokumentasi<Sebelum | Contents [show] | Seterusnya>
4.1. Mengkonfigurasi OpenLDAP
Pertama, skema yang diperlukan perlu dimuatkan pada pelayan OpenLDAP yang mempunyai sambungan rangkaian kepada KDC Utama dan Menengah. Selebihnya bahagian ini menganggap bahawa anda juga mempunyai replikasi LDAP yang dikonfigurasikan antara sekurang-kurangnya dua pelayan. Untuk maklumat tentang menyediakan OpenLDAP lihat Bahagian 1, “Pelayan OpenLDAP” [m.s. 115].
Ia juga diperlukan untuk mengkonfigurasi OpenLDAP untuk sambungan TLS dan SSL, supaya trafik antara pelayan KDC dan LDAP disulitkan. Lihat Bahagian 1.8, “TLS” [hlm. 129] untuk butiran.
cn=admin,cn=config ialah pengguna yang kami cipta dengan hak untuk mengedit pangkalan data ldap. Banyak kali ia adalah RootDN. Tukar nilainya untuk mencerminkan persediaan anda.
• Untuk memuatkan skema ke dalam LDAP, pada pelayan LDAP pasang pakej krb5-kdc-ldap. Dari terminal masukkan:
sudo apt pasang krb5-kdc-ldap
• Seterusnya, ekstrak kerberos.schema.gz fail:
sudo gzip -d /usr/share/doc/krb5-kdc-ldap/kerberos.schema.gz
sudo cp /usr/share/doc/krb5-kdc-ldap/kerberos.schema /etc/ldap/schema/
• Skema kerberos perlu ditambah pada pokok cn=config. Prosedur untuk menambah skema baharu pada slapd juga diperincikan dalam Bahagian 1.4, “Mengubah suai Pangkalan Data Konfigurasi slapd” [hlm. 120].
1. Mula-mula, buat fail konfigurasi bernama schema_convert.conf, atau nama deskriptif yang serupa, yang mengandungi baris berikut:
include /etc/ldap/schema/core.schema include /etc/ldap/schema/collective.schema include /etc/ldap/schema/corba.schema include /etc/ldap/schema/cosine.schema include /etc/ldap/ schema/duaconf.schema termasuk /etc/ldap/schema/dyngroup.schema
include /etc/ldap/schema/inetorgperson.schema include /etc/ldap/schema/java.schema
include /etc/ldap/schema/misc.schema include /etc/ldap/schema/nis.schema include /etc/ldap/schema/openldap.schema include /etc/ldap/schema/ppolicy.schema include /etc/ldap/ schema/kerberos.schema
2. Cipta direktori sementara untuk menyimpan fail LDIF:
mkdir /tmp/ldif_output
3. Sekarang gunakan slapcat untuk menukar fail skema:
slapcat -f schema_convert.conf -F /tmp/ldif_output -n0 -s \ "cn={12}kerberos,cn=schema,cn=config" > /tmp/cn=kerberos.ldif
Tukar nama fail dan laluan di atas supaya sepadan dengan nama anda sendiri jika ia berbeza.
4. Edit yang dihasilkan /tmp/cn\=kerberos.ldif fail, menukar atribut berikut:
dn: cn=kerberos,cn=skema,cn=config
...
cn: kerberos
Dan keluarkan baris berikut dari hujung fail:
structuralObjectClass: entri olcSchemaConfigUUID: 18ccd010-746b-102d-9fbe-3760cca765dc creatorsName: cn=config
createTimestamp: 20090111203515Z
kemasukanCSN: 20090111203515.326445Z#000000#000#000000
pengubahNama: cn=config modifyTimestamp: 20090111203515Z
Nilai atribut akan berbeza-beza, cuma pastikan atribut dialih keluar.
5. Muatkan skema baharu dengan ldapadd:
sudo ldapadd -Q -Y LUARAN -H ldapi:/// -f /tmp/cn\=kerberos.ldif
6. Tambah indeks untuk krb5nama utama atribut:
sudo ldapmodify -Q -Y LUARAN -H ldapi:///
dn: olcDatabase={1}mdb,cn=config tambah: olcDbIndex
olcDbIndex: krbPrincipalName eq,pres,sub
mengubah suai masukan "olcDatabase={1}mdb,cn=config"
7. Akhir sekali, kemas kini Senarai Kawalan Akses (ACL):
sudo ldapmodify -Q -Y LUARAN -H ldapi:///
dn: olcDatabase={1}mdb,cn=config ganti: olcAccess
olcAccess: ke attrs=userPassword,shadowLastChange,krbPrincipalKey oleh dn="cn=admin,dc=example,dc=com" tulis dengan auth tanpa nama dengan tulis sendiri oleh * tiada
-
tambah: olcAccess
olcAccess: ke dn.base="" oleh * baca
-
tambah: olcAccess
olcAccess: ke * oleh dn="cn=admin,dc=example,dc=com" tulis dengan * baca
mengubah suai masukan "olcDatabase={1}mdb,cn=config"
Itu sahaja, direktori LDAP anda kini sedia untuk berfungsi sebagai pangkalan data utama Kerberos.