เอกสาร<ก่อนหน้านี้ | Contents | ถัดไป>
4.2. การกำหนดค่า KDC หลัก
เมื่อกำหนดค่า OpenLDAP ก็ถึงเวลากำหนดค่า KDC
• ขั้นแรก ติดตั้งแพ็คเกจที่จำเป็น จากเทอร์มินัล ให้ป้อน:
sudo apt ติดตั้ง krb5-kdc krb5-admin-server krb5-kdc-ldap
• ตอนนี้แก้ไข /etc/krb5.conf เพิ่มตัวเลือกต่อไปนี้ในส่วนที่เหมาะสม:
[libdefault]
default_realm = EXAMPLE.COM
...
[อาณาจักร]
ตัวอย่าง.COM = {
kdc = kdc01.example.com kdc = kdc02.example.com
admin_server = kdc01.example.com admin_server = kdc02.example.com default_domain = example.com Database_module = openldap_ldapconf
}
...
[โดเมน_อาณาจักร]
.example.com = ตัวอย่าง.คอม
...
[dbdefault]
ldap_kerberos_container_dn = cn=krbContainer,dc=ตัวอย่าง,dc=com
[dbโมดูล]
openldap_ldapconf = {
db_library = kldap
ldap_kdc_dn = "cn=admin,dc=example,dc=com"
# วัตถุนี้ต้องมีสิทธิ์ในการอ่าน
# คอนเทนเนอร์ขอบเขต คอนเทนเนอร์หลัก และทรีย่อยของขอบเขต ldap_kadmind_dn = "cn=admin,dc=example,dc=com"
# วัตถุนี้ต้องมีสิทธิ์ในการอ่านและเขียน
# คอนเทนเนอร์ขอบเขต คอนเทนเนอร์หลัก และทรีย่อยของขอบเขต ldap_service_password_file = /etc/krb5kdc/service.keyfile ldap_servers = ldaps://ldap01.example.com ldaps://ldap02.example.com ldap_conns_per_server = 5
}
เปลี่ยนแปลง example.com, dc=ตัวอย่าง,dc=com, cn=admin,dc=ตัวอย่าง,dc=comและ
ldap01.example.com ไปยังโดเมนที่เหมาะสม อ็อบเจ็กต์ LDAP และเซิร์ฟเวอร์ LDAP สำหรับเครือข่ายของคุณ
• ถัดไป ใช้ยูทิลิตี kdb5_ldap_util เพื่อสร้างขอบเขต:
sudo kdb5_ldap_util -D cn=admin,dc=example,dc=com สร้าง -subtrees \ dc=example,dc=com -r EXAMPLE.COM -s -H ldap://ldap01.example.com
• สร้างที่เก็บรหัสผ่านที่ใช้ผูกกับเซิร์ฟเวอร์ LDAP รหัสผ่านนี้ถูกใช้โดย ldap_kdc_dn
และ ldap_kadmin_dn ตัวเลือกใน /etc/krb5.conf:
sudo kdb5_ldap_util -D cn=admin,dc=example,dc=com stashsrvpw -f \
/etc/krb5kdc/service.keyfile cn=admin,dc=example,dc=com
• คัดลอกใบรับรอง CA จากเซิร์ฟเวอร์ LDAP:
scp ldap01:/etc/ssl/certs/cacert.pem sudo cp cacert.pem /etc/ssl/certs
และแก้ไข /etc/ldap/ldap.conf เพื่อใช้ใบรับรอง:
TLS_CACERT /etc/ssl/certs/cacert.pem
ใบรับรองจะต้องถูกคัดลอกไปยัง KDC รองด้วย เพื่ออนุญาตการเชื่อมต่อกับเซิร์ฟเวอร์ LDAP โดยใช้ LDAPS
• เริ่ม Kerberos KDC และเซิร์ฟเวอร์ผู้ดูแลระบบ:
sudo systemctl เริ่ม krb5-kdc.service
sudo systemctl เริ่ม krb5-admin-server.service
คุณสามารถเพิ่มหลักการ Kerberos ลงในฐานข้อมูล LDAP ได้แล้ว และจะถูกคัดลอกไปยังเซิร์ฟเวอร์ LDAP อื่นๆ ที่กำหนดค่าไว้สำหรับการจำลองแบบ ในการเพิ่มหลักการโดยใช้ยูทิลิตี้ kadmin.local ให้ป้อน:
sudo kadmin.local
กำลังพิสูจน์ตัวตนในฐานะ root หลัก/[ป้องกันอีเมล] ด้วยรหัสผ่าน kadmin.local: addprinc -x dn="uid=steve,ou=people,dc=example,dc=com" สตีฟ คำเตือน: ไม่ได้ระบุนโยบายสำหรับ [ป้องกันอีเมล]; ผิดนัดไม่มีนโยบาย ใส่รหัสผ่านสำหรับตัวการ "[ป้องกันอีเมล]":
ป้อนรหัสผ่านอีกครั้งสำหรับตัวการ "[ป้องกันอีเมล]": อาจารย์ใหญ่ "[ป้องกันอีเมล]" สร้าง.
ตอนนี้ควรมีแอตทริบิวต์ krbPrincipalName, krbPrincipalKey, krbLastPwdChange และ krbExtraData ที่เพิ่มไปยัง uid=steve,ou=คน,dc=ตัวอย่าง,dc=com วัตถุผู้ใช้ ใช้ยูทิลิตี้ kinit และ klist เพื่อทดสอบว่าผู้ใช้ได้รับตั๋วจริงหรือไม่
หากวัตถุผู้ใช้ถูกสร้างขึ้นแล้ว -x dn="..." จำเป็นต้องใช้ตัวเลือกเพื่อเพิ่มแอตทริบิวต์ Kerberos อย่างอื่นใหม่ หลัก วัตถุจะถูกสร้างขึ้นในทรีย่อยของขอบเขต