dokumentasi<Sebelum | Contents [show] | Seterusnya>
4.2. Konfigurasi KDC Utama
Dengan OpenLDAP dikonfigurasikan sudah tiba masanya untuk mengkonfigurasi KDC.
• Mula-mula, pasang pakej yang diperlukan, dari terminal masukkan:
sudo apt install krb5-kdc krb5-admin-server krb5-kdc-ldap
• Sekarang edit /etc/krb5.conf menambah pilihan berikut di bawah bahagian yang sesuai:
[libdefaults]
default_realm = EXAMPLE.COM
...
[alam]
EXAMPLE.COM = {
kdc = kdc01.example.com kdc = kdc02.example.com
admin_server = kdc01.example.com admin_server = kdc02.example.com default_domain = example.com database_module = openldap_ldapconf
}
...
[domain_realm]
.example.com = EXAMPLE.COM
...
[dbdefaults]
ldap_kerberos_container_dn = cn=krbContainer,dc=example,dc=com
[dbmodules]
openldap_ldapconf = {
db_library = kldap
ldap_kdc_dn = "cn=admin,dc=example,dc=com"
# objek ini perlu mempunyai hak baca
# bekas alam, bekas utama dan subpokok alam ldap_kadmind_dn = "cn=admin,dc=example,dc=com"
# objek ini perlu mempunyai hak membaca dan menulis
# bekas alam, bekas utama dan subpokok alam ldap_service_password_file = /etc/krb5kdc/service.keyfile ldap_servers = ldaps://ldap01.example.com ldaps://ldap02.example.com ldap_conns_per_server = 5
}
Tukar example.com, dc=contoh,dc=com, cn=admin,dc=example,dc=com, dan
ldap01.example.com ke domain yang sesuai, objek LDAP dan pelayan LDAP untuk rangkaian anda.
• Seterusnya, gunakan utiliti kdb5_ldap_util untuk mencipta alam:
sudo kdb5_ldap_util -D cn=admin,dc=example,dc=com create -subtrees \ dc=example,dc=com -r EXAMPLE.COM -s -H ldap://ldap01.example.com
• Buat simpanan kata laluan yang digunakan untuk mengikat ke pelayan LDAP. Kata laluan ini digunakan oleh ldap_kdc_dn
and ldap_kadmin_dn pilihan dalam /etc/krb5.conf:
sudo kdb5_ldap_util -D cn=admin,dc=example,dc=com stashsrvpw -f \
/etc/krb5kdc/service.keyfile cn=admin,dc=example,dc=com
• Salin sijil CA daripada pelayan LDAP:
scp ldap01:/etc/ssl/certs/cacert.pem . sudo cp cacert.pem /etc/ssl/certs
Dan edit /etc/ldap/ldap.conf untuk menggunakan sijil:
TLS_CACERT /etc/ssl/certs/cacert.pem
Sijil juga perlu disalin ke KDC Menengah, untuk membenarkan sambungan ke pelayan LDAP menggunakan LDAPS.
• Mulakan Kerberos KDC dan pelayan pentadbir:
sudo systemctl mulakan krb5-kdc.service
sudo systemctl mula krb5-admin-server.service
Anda kini boleh menambah prinsipal Kerberos pada pangkalan data LDAP dan ia akan disalin ke mana-mana pelayan LDAP lain yang dikonfigurasikan untuk replikasi. Untuk menambah prinsipal menggunakan utiliti kadmin.local masukkan:
sudo kadmin.local
Mengesahkan sebagai punca utama/[e-mel dilindungi] dengan kata laluan. kadmin.local: addprinc -x dn="uid=steve,ou=people,dc=example,dc=com" steve AMARAN: tiada dasar dinyatakan untuk [e-mel dilindungi]; lalai kepada tiada dasar Masukkan kata laluan untuk prinsipal "[e-mel dilindungi]":
Masukkan semula kata laluan untuk prinsipal "[e-mel dilindungi]": Pengetua "[e-mel dilindungi]"dicipta.
Kini harus ada atribut krbPrincipalName, krbPrincipalKey, krbLastPwdChange dan krbExtraData ditambahkan pada uid=steve,ou=people,dc=example,dc=com objek pengguna. Gunakan utiliti kinit dan klist untuk menguji bahawa pengguna memang telah diberikan tiket.
Jika objek pengguna sudah dibuat -x dn="..." pilihan diperlukan untuk menambah atribut Kerberos. Jika tidak baru utama objek akan dicipta dalam subpokok alam.