เอกสาร<ก่อนหน้านี้ | Contents | ถัดไป>
4.3. การกำหนดค่า KDC รอง
การกำหนดค่า KDC รองโดยใช้แบ็กเอนด์ LDAP จะคล้ายกับการกำหนดค่าโดยใช้ฐานข้อมูล Kerberos ปกติ
1. ขั้นแรก ติดตั้งแพ็คเกจที่จำเป็น ในเทอร์มินัลให้ป้อน:
sudo apt ติดตั้ง krb5-kdc krb5-admin-server krb5-kdc-ldap
2. ถัดไป แก้ไข /etc/krb5.conf เพื่อใช้แบ็กเอนด์ LDAP:
[libdefault]
default_realm = EXAMPLE.COM
...
[อาณาจักร]
ตัวอย่าง.COM = {
kdc = kdc01.example.com kdc = kdc02.example.com
admin_server = kdc01.example.com admin_server = kdc02.example.com default_domain = example.com Database_module = openldap_ldapconf
}
...
[โดเมน_อาณาจักร]
.example.com = ตัวอย่าง.คอม
...
[dbdefault]
ldap_kerberos_container_dn = dc=ตัวอย่าง,dc=com
[dbโมดูล]
openldap_ldapconf = {
db_library = kldap
ldap_kdc_dn = "cn=admin,dc=example,dc=com"
# วัตถุนี้ต้องมีสิทธิ์ในการอ่าน
# คอนเทนเนอร์ขอบเขต คอนเทนเนอร์หลัก และทรีย่อยของขอบเขต ldap_kadmind_dn = "cn=admin,dc=example,dc=com"
# วัตถุนี้ต้องมีสิทธิ์ในการอ่านและเขียน
# คอนเทนเนอร์ขอบเขต คอนเทนเนอร์หลัก และทรีย่อยของขอบเขต ldap_service_password_file = /etc/krb5kdc/service.keyfile ldap_servers = ldaps://ldap01.example.com ldaps://ldap02.example.com ldap_conns_per_server = 5
}
3. สร้างที่เก็บสำหรับรหัสผ่านผูก LDAP:
sudo kdb5_ldap_util -D cn=admin,dc=example,dc=com stashsrvpw -f \
/etc/krb5kdc/service.keyfile cn=admin,dc=example,dc=com
4. ตอนนี้บน ป.ป.ช. คัดลอก /etc/krb5kdc/.k5.EXAMPLE.COM กุญแจหลัก ซ่อนไว้ที่ KDC รอง อย่าลืมคัดลอกไฟล์ผ่านการเชื่อมต่อที่เข้ารหัส เช่น scp หรือสื่อทางกายภาพ
sudo scp /etc/krb5kdc/.k5.EXAMPLE.COM [ป้องกันอีเมล]:~ sudo mv .k5.EXAMPLE.COM /etc/krb5kdc/
อีกครั้งแทนที่ ตัวอย่าง.COM กับดินแดนที่แท้จริงของคุณ
5. กลับมาที่ KDC รอง, (อีกครั้ง) เริ่มเซิร์ฟเวอร์ ldap เท่านั้น
sudo systemctl รีสตาร์ท slapd.service
6. สุดท้าย เริ่ม krb5-kdc daemon:
sudo systemctl เริ่ม krb5-kdc.service
7. ตรวจสอบว่าเซิร์ฟเวอร์ ldap สองเครื่อง (และ kerberos ตามส่วนขยาย) ซิงค์กัน
ตอนนี้คุณมี KDC ที่ซ้ำซ้อนบนเครือข่ายของคุณ และด้วยเซิร์ฟเวอร์ LDAP ที่ซ้ำซ้อน คุณควรตรวจสอบสิทธิ์ผู้ใช้ต่อไปได้ หากเซิร์ฟเวอร์ LDAP หนึ่งเซิร์ฟเวอร์ Kerberos หนึ่งเครื่อง หรือ LDAP หนึ่งเครื่องและเซิร์ฟเวอร์ Kerberos หนึ่งเครื่องไม่พร้อมใช้งาน