เอกสาร<ก่อนหน้านี้ | Contents | ถัดไป>
4.1. การกำหนดค่า OpenLDAP
อันดับแรก ต้องโหลดสคีมาที่จำเป็นบนเซิร์ฟเวอร์ OpenLDAP ที่มีการเชื่อมต่อเครือข่ายกับ KDC หลักและรอง ส่วนที่เหลือของส่วนนี้จะถือว่าคุณมีการจำลองแบบ LDAP ที่กำหนดค่าไว้ระหว่างเซิร์ฟเวอร์อย่างน้อยสองเครื่อง สำหรับข้อมูลเกี่ยวกับการตั้งค่า OpenLDAP โปรดดูส่วนที่ 1 “เซิร์ฟเวอร์ OpenLDAP” [p. 115.
นอกจากนี้ยังจำเป็นต้องกำหนดค่า OpenLDAP สำหรับการเชื่อมต่อ TLS และ SSL เพื่อให้การรับส่งข้อมูลระหว่างเซิร์ฟเวอร์ KDC และ LDAP ได้รับการเข้ารหัส ดูหัวข้อ 1.8 “TLS” [p. 129] สำหรับรายละเอียด
cn=admin,cn=config เป็นผู้ใช้ที่เราสร้างขึ้นโดยมีสิทธิ์แก้ไขฐานข้อมูล ldap หลายครั้งที่มันเป็น RootDN เปลี่ยนค่าเพื่อสะท้อนการตั้งค่าของคุณ
• ในการโหลดสคีมาลงใน LDAP บนเซิร์ฟเวอร์ LDAP ให้ติดตั้งแพ็กเกจ krb5-kdc-ldap จากเทอร์มินัลให้ป้อน:
sudo apt ติดตั้ง krb5-kdc-ldap
• ถัดไป แยก kerberos.schema.gz ไฟล์:
sudo gzip -d /usr/share/doc/krb5-kdc-ldap/kerberos.schema.gz
sudo cp /usr/share/doc/krb5-kdc-ldap/kerberos.schema /etc/ldap/schema/
• ต้องเพิ่ม kerberos schema ใน cn=config tree ขั้นตอนการเพิ่มสคีมาใหม่ให้กับ slapd มีรายละเอียดอยู่ในส่วนที่ 1.4 “การแก้ไขฐานข้อมูลการกำหนดค่า slapd” [p. 120].
1. ขั้นแรก สร้างไฟล์การกำหนดค่าชื่อ schema_convert.confหรือชื่อที่สื่อความหมายที่คล้ายกัน โดยมีบรรทัดต่อไปนี้:
รวม /etc/ldap/schema/core.schema รวม /etc/ldap/schema/collective.schema รวม /etc/ldap/schema/corba.schema รวม /etc/ldap/schema/cosine.schema รวม /etc/ldap/ schema/duaconf.schema รวม /etc/ldap/schema/dyngroup.schema
รวม /etc/ldap/schema/inetorgperson.schema รวม /etc/ldap/schema/java.schema
รวม /etc/ldap/schema/misc.schema รวม /etc/ldap/schema/nis.schema รวม /etc/ldap/schema/openldap.schema รวม /etc/ldap/schema/ppolicy.schema รวม /etc/ldap/ schema/kerberos.schema
2. สร้างไดเร็กทอรีชั่วคราวเพื่อเก็บไฟล์ LDIF:
mkdir /tmp/ldif_output.mkdir
3. ตอนนี้ใช้ slapcat เพื่อแปลงไฟล์สคีมา:
slapcat -f schema_convert.conf -F /tmp/ldif_output -n0 -s \ "cn={12}kerberos,cn=schema,cn=config" > /tmp/cn=kerberos.ldif
เปลี่ยนชื่อไฟล์และพาธด้านบนให้ตรงกับชื่อของคุณเองหากต่างกัน
4. แก้ไขการสร้าง /tmp/cn\=kerberos.ldif ไฟล์ โดยเปลี่ยนแอตทริบิวต์ต่อไปนี้:
dn: cn=kerberos,cn=สคีมา,cn=config
...
cn: เคอร์เบอรอส
และลบบรรทัดต่อไปนี้ออกจากท้ายไฟล์:
โครงสร้างObjectClass: olcSchemaConfig entryUUID: 18ccd010-746b-102d-9fbe-3760cca765dcชื่อผู้สร้าง: cn=config
สร้างการประทับเวลา: 20090111203515Z
รายการCSN: 20090111203515.326445Z#000000#000#000000
ตัวดัดแปลงชื่อ: cn=config modifiedTimestamp: 20090111203515Z
ค่าแอตทริบิวต์จะแตกต่างกันไป ตรวจสอบให้แน่ใจว่าได้ลบแอตทริบิวต์แล้ว
5. โหลดสคีมาใหม่ด้วย ldapadd:
sudo ldapadd -Q -Y ภายนอก -H ldapi:/// -f /tmp/cn\=kerberos.ldif
6. เพิ่มดัชนีสำหรับ krb5ชื่อหลัก แอตทริบิวต์:
sudo ldapmodify -Q -Y ภายนอก -H ldapi:///
dn: olcDatabase={1}mdb,cn=config เพิ่ม: olcDbIndex
olcDbIndex: krbPrincipalName eq,pres,sub
แก้ไขรายการ "olcDatabase={1}mdb,cn=config"
7. สุดท้าย อัปเดต Access Control Lists (ACL):
sudo ldapmodify -Q -Y ภายนอก -H ldapi:///
dn: olcDatabase={1}mdb,cn=config แทนที่: olcAccess
olcAccess: to attrs=userPassword,shadowLastChange,krbPrincipalKey by dn="cn=admin,dc=example,dc=com" เขียนโดยไม่ระบุตัวตน auth โดยเขียนเองโดย * none
-
เพิ่ม: olcAccess
olcAccess: to dn.base="" โดย * read
-
เพิ่ม: olcAccess
olcAccess: ถึง * โดย dn="cn=admin,dc=example,dc=com" เขียนโดย * อ่าน
แก้ไขรายการ "olcDatabase={1}mdb,cn=config"
เพียงเท่านี้ ไดเรกทอรี LDAP ของคุณก็พร้อมที่จะทำหน้าที่เป็นฐานข้อมูลหลักของ Kerberos แล้ว