Tài liệu<Trước | Nội dung | Tiếp theo>
4.1. Cấu hình OpenLDAP
Đầu tiên, lược đồ cần thiết cần được tải trên máy chủ OpenLDAP có kết nối mạng với KDC chính và phụ. Phần còn lại của phần này giả định rằng bạn cũng có cấu hình sao chép LDAP giữa ít nhất hai máy chủ. Để biết thông tin về cách thiết lập OpenLDAP, hãy xem Phần 1, “Máy chủ OpenLDAP” [tr. 115].
Nó cũng bắt buộc phải định cấu hình OpenLDAP cho các kết nối TLS và SSL để lưu lượng truy cập giữa máy chủ KDC và LDAP được mã hóa. Xem Phần 1.8, “TLS” [tr. 129] để biết chi tiết.
cn = admin, cn = config là người dùng mà chúng tôi đã tạo với quyền chỉnh sửa cơ sở dữ liệu ldap. Nhiều khi nó là RootDN. Thay đổi giá trị của nó để phản ánh thiết lập của bạn.
• Để tải lược đồ vào LDAP, trên máy chủ LDAP, hãy cài đặt gói krb5-kdc-ldap. Từ một thiết bị đầu cuối, hãy nhập:
sudo apt cài đặt krb5-kdc-ldap
• Tiếp theo, giải nén kerberos.schema.gz tập tin:
sudo gzip -d /usr/share/doc/krb5-kdc-ldap/kerberos.schema.gz
sudo cp /usr/share/doc/krb5-kdc-ldap/kerberos.schema / etc / ldap / schema /
• Lược đồ kerberos cần được thêm vào cây cn = config. Quy trình để thêm một lược đồ mới vào Tátdd cũng được trình bày chi tiết trong Phần 1.4, “Sửa đổi Cơ sở Dữ liệu Cấu hình Tátđồng” [tr. 120].
1. Đầu tiên, tạo một tệp cấu hình có tên lược đồ_convert.confhoặc một tên mô tả tương tự, chứa các dòng sau:
bao gồm /etc/ldap/schema/core.schema bao gồm /etc/ldap/schema/collective.schema bao gồm /etc/ldap/schema/corba.schema bao gồm /etc/ldap/schema/cosine.schema bao gồm / etc / ldap / schema / duaconf.schema bao gồm /etc/ldap/schema/dyngroup.schema
bao gồm /etc/ldap/schema/inetorgwoman.schema bao gồm /etc/ldap/schema/java.schema
bao gồm /etc/ldap/schema/misc.schema bao gồm /etc/ldap/schema/nis.schema bao gồm /etc/ldap/schema/openldap.schema bao gồm /etc/ldap/schema/ppolicy.schema bao gồm / etc / ldap / schema / kerberos.schema
2. Tạo một thư mục tạm thời để chứa các tệp LDIF:
mkdir / tmp / ldif_output
3. Bây giờ, hãy sử dụng slitcat để chuyển đổi các tệp lược đồ:
tátcat -f schema_convert.conf -F / tmp / ldif_output -n0 -s \ "cn = {12} kerberos, cn = schema, cn = config"> /tmp/cn=kerberos.ldif
Thay đổi tên tệp và đường dẫn ở trên để khớp với tên của riêng bạn nếu chúng khác nhau.
4. Chỉnh sửa /tmp/cn\=kerberos.ldif , thay đổi các thuộc tính sau:
dn: cn = kerberos, cn = schema, cn = config
...
cn: kerberos
Và xóa các dòng sau khỏi cuối tệp:
StructureObjectClass: olcSchemaConfig entryUUID: 18ccd010-746b-102d-9fbe-3760cca765dc CreatorsName: cn = config
tạoDấu thời gian: 20090111203515Z
mục CSN: 20090111203515.326445Z # 000000 # 000 # 000000
modifierName: cn = config modimestamp: 20090111203515Z
Các giá trị thuộc tính sẽ khác nhau, chỉ cần đảm bảo các thuộc tính được xóa.
5. Tải lược đồ mới bằng ldapadd:
sudo ldapadd -Q -Y BÊN NGOÀI -H ldapi: /// -f /tmp/cn\=kerberos.ldif
6. Thêm một chỉ mục cho krb5principalname thuộc tính:
sudo ldapmodify -Q -Y NGOÀI -H ldapi: ///
dn: olcDatabase = {1} mdb, cn = config add: olcDbIndex
olcDbIndex: krbPrincipalName eq, pres, sub
sửa đổi mục nhập "olcDatabase = {1} mdb, cn = config"
7. Cuối cùng, cập nhật Danh sách kiểm soát truy cập (ACL):
sudo ldapmodify -Q -Y NGOÀI -H ldapi: ///
dn: olcDatabase = {1} mdb, cn = config Replace: olcAccess
olcAccess: to attrs = userPassword, shadowLastChange, krbPrincipalKey by dn = "cn = admin, dc = example, dc = com" do auth nặc danh tự viết bởi * none
-
thêm: olcAccess
olcAccess: to dn.base = "" by * read
-
thêm: olcAccess
olcAccess: to * by dn = "cn = admin, dc = example, dc = com" write by * read
sửa đổi mục nhập "olcDatabase = {1} mdb, cn = config"
Vậy là xong, thư mục LDAP của bạn hiện đã sẵn sàng để phục vụ như một cơ sở dữ liệu chính của Kerberos.
<Trước | Nội dung | Tiếp theo>