4.1. OpenLDAP configureren
Eerst moet het benodigde schema worden geladen op een OpenLDAP-server die netwerkconnectiviteit heeft met de primaire en secundaire KDC's. In de rest van deze sectie wordt ervan uitgegaan dat u ook LDAP-replicatie hebt geconfigureerd tussen ten minste twee servers. Voor informatie over het instellen van OpenLDAP, zie Hoofdstuk 1, “OpenLDAP Server” [p. 115].
Het is ook vereist om OpenLDAP te configureren voor TLS- en SSL-verbindingen, zodat het verkeer tussen de KDC en de LDAP-server wordt gecodeerd. Zie Paragraaf 1.8, “TLS” [p. 129] voor details.
cn=admin,cn=config is een gebruiker die we hebben gemaakt met rechten om de ldap-database te bewerken. Vaak is het de RootDN. Wijzig de waarde ervan om uw instellingen weer te geven.
• Om het schema in LDAP te laden, installeert u op de LDAP-server het pakket krb5-kdc-ldap. Voer vanaf een terminal het volgende in:
sudo apt installeer krb5-kdc-ldap
• Pak vervolgens het kerberos.schema.gz file:
sudo gzip -d /usr/share/doc/krb5-kdc-ldap/kerberos.schema.gz
sudo cp /usr/share/doc/krb5-kdc-ldap/kerberos.schema /etc/ldap/schema/
• Het Kerberos-schema moet worden toegevoegd aan de cn=config-boom. De procedure voor het toevoegen van een nieuw schema aan slapd wordt ook gedetailleerd beschreven in Paragraaf 1.4, “De slapd-configuratiedatabase wijzigen” [p. 120].
1. Maak eerst een configuratiebestand met de naam schema_convert.conf, of een vergelijkbare beschrijvende naam, die de volgende regels bevat:
include /etc/ldap/schema/core.schema include /etc/ldap/schema/collective.schema include /etc/ldap/schema/corba.schema include /etc/ldap/schema/cosine.schema include /etc/ldap/ schema/duaconf.schema omvat /etc/ldap/schema/dyngroup.schema
omvatten /etc/ldap/schema/inetorgperson.schema omvatten /etc/ldap/schema/java.schema
include /etc/ldap/schema/misc.schema include /etc/ldap/schema/nis.schema include /etc/ldap/schema/openldap.schema include /etc/ldap/schema/ppolicy.schema include /etc/ldap/ schema/kerberos.schema
2. Maak een tijdelijke map voor de LDIF-bestanden:
mkdir /tmp/ldif_output
3. Gebruik nu slapcat om de schemabestanden te converteren:
slapcat -f schema_convert.conf -F /tmp/ldif_output -n0 -s \ "cn={12}kerberos,cn=schema,cn=config" > /tmp/cn=kerberos.ldif
Wijzig de bovenstaande bestands- en padnamen zodat deze overeenkomen met uw eigen namen als ze verschillend zijn.
4. Bewerk de gegenereerde /tmp/cn\=kerberos.ldif bestand, waarbij de volgende kenmerken worden gewijzigd:
dn: cn=kerberos,cn=schema,cn=config
...
cn: kerberos
En verwijder de volgende regels aan het einde van het bestand:
structuralObjectClass: olcSchemaConfig entryUUID: 18ccd010-746b-102d-9fbe-3760cca765dc creatorsName: cn=config
tijdstempel maken: 20090111203515Z
invoerCSN: 20090111203515.326445Z#000000#000#000000
modifiersName: cn=config modificerenTijdstempel: 20090111203515Z
De attribuutwaarden variëren. Zorg er wel voor dat de attributen zijn verwijderd.
5. Laad het nieuwe schema met ldapadd:
sudo ldapadd -Q -Y EXTERN -H ldapi:/// -f /tmp/cn\=kerberos.ldif
6. Voeg een index toe voor de krb5hoofdnaam attribuut:
sudo ldapmodify -Q -Y EXTERN -H ldapi:///
dn: olcDatabase={1}mdb,cn=config voeg toe: olcDbIndex
olcDbIndex: krbPrincipalName eq,press,sub
invoer "olcDatabase={1}mdb,cn=config" wijzigen
7. Werk ten slotte de toegangscontrolelijsten (ACL) bij:
sudo ldapmodify -Q -Y EXTERN -H ldapi:///
dn: olcDatabase={1}mdb,cn=config vervang: olcAccess
olcAccess: to attrs=userPassword,shadowLastChange,krbPrincipalKey by dn="cn=admin,dc=example,dc=com" schrijven door anonieme authenticatie door zelf schrijven door * geen
-
toevoegen: olcAccess
olcAccess: naar dn.base="" door * lezen
-
toevoegen: olcAccess
olcAccess: naar * door dn="cn=admin,dc=example,dc=com" schrijven door * lezen
invoer "olcDatabase={1}mdb,cn=config" wijzigen
Dat is alles, uw LDAP-directory is nu gereed om als Kerberos-hoofddatabase te dienen.