<Trước | Nội dung | Tiếp theo>

4.2. Cấu hình KDC chính

Với OpenLDAP được cấu hình, đã đến lúc cấu hình KDC.

• Đầu tiên, cài đặt các gói cần thiết, từ một thiết bị đầu cuối nhập:

sudo apt cài đặt krb5-kdc krb5-admin-server krb5-kdc-ldap

• Bây giờ chỉnh sửa /etc/krb5.conf thêm các tùy chọn sau vào trong các phần thích hợp:

[libdefaults]

default_realm = EXAMPLE.COM

...

[cảnh giới]

VÍ DỤ.COM = {

kdc = kdc01.example.com kdc = kdc02.example.com

admin_server = kdc01.example.com admin_server = kdc02.example.com default_domain = example.com cơ sở dữ liệu_module = openldap_ldapconf

}

...

[miền_cõi]

.example.com = EXAMPLE.COM

...

[dbdefaults]

ldap_kerberos_container_dn = cn = krbContainer, dc = ví dụ, dc = com

[dbmô-đun]

openldap_ldapconf = {

db_library = kldap

ldap_kdc_dn = "cn = admin, dc = example, dc = com"

# đối tượng này cần có quyền đọc trên

# vùng chứa vùng, vùng chứa chính và cây con của vùng ldap_kadmind_dn = "cn = admin, dc = example, dc = com"

# đối tượng này cần có quyền đọc và ghi trên

# vùng chứa vùng, vùng chứa chính và cây con của vùng ldap_service_password_file = /etc/krb5kdc/service.keyfile ldap_servers = ldaps: //ldap01.example.com ldaps: //ldap02.example.com ldap_conns_per_server = 5

}

Thay đổi example.com, dc = ví dụ, dc = com, cn = admin, dc = example, dc = comvà

ldap01.example.com tới miền, đối tượng LDAP và máy chủ LDAP thích hợp cho mạng của bạn.

• Tiếp theo, sử dụng tiện ích kdb5_ldap_util để tạo cảnh giới:

sudo kdb5_ldap_util -D cn = admin, dc = example, dc = com create -subtrees \ dc = example, dc = com -r EXAMPLE.COM -s -H ldap: //ldap01.example.com

• Tạo một kho mật khẩu được sử dụng để liên kết với máy chủ LDAP. Mật khẩu này được sử dụng bởi ldap_kdc_dn

và ldap_kadmin_dn tùy chọn trong /etc/krb5.conf:

sudo kdb5_ldap_util -D cn = admin, dc = example, dc = com stashsrvpw -f \

/etc/krb5kdc/service.keyfile cn = admin, dc = example, dc = com

• Sao chép chứng chỉ CA từ máy chủ LDAP:

scp ldap01: /etc/ssl/certs/cacert.pem. sudo cp cacert.pem / etc / ssl / certs

Và chỉnh sửa /etc/ldap/ldap.conf để sử dụng chứng chỉ:

TLS_CACERT /etc/ssl/certs/cacert.pem

Chứng chỉ cũng sẽ cần được sao chép sang KDC phụ, để cho phép kết nối với máy chủ LDAP bằng LDAPS.

• Khởi động Kerberos KDC và máy chủ quản trị:

Sudo systemctl bắt đầu krb5-kdc.service

Sudo systemctl start krb5-admin-server.service

Bây giờ bạn có thể thêm các nguyên tắc của Kerberos vào cơ sở dữ liệu LDAP và chúng sẽ được sao chép vào bất kỳ máy chủ LDAP nào khác được định cấu hình để nhân rộng. Để thêm mã chính bằng tiện ích kadmin.local, hãy nhập:

sudo kadmin.local

Xác thực là gốc chính/[email được bảo vệ] với mật khẩu. kadmin.local: addprinc -x dn = "uid = steve, ou = people, dc = example, dc = com" steve CẢNH BÁO: không có chính sách nào được chỉ định cho [email được bảo vệ]; mặc định không có chính sách Nhập mật khẩu cho hiệu trưởng "[email được bảo vệ]":

Nhập lại mật khẩu cho hiệu trưởng"[email được bảo vệ]": Hiệu trưởng "[email được bảo vệ]" tạo.

Bây giờ sẽ có các thuộc tính krbPrincipalName, krbPrincipalKey, krbLastPwdChange và krbExtraData được thêm vào uid = steve, ou = people, dc = example, dc = com đối tượng người dùng. Sử dụng các tiện ích kinit và klist để kiểm tra xem người dùng có thực sự được cấp vé hay không.

Nếu đối tượng người dùng đã được tạo, -x dn = "..." cần có tùy chọn để thêm các thuộc tính Kerberos. Nếu không thì một cái mới chính đối tượng sẽ được tạo trong cây con cảnh giới.

<Trước | Nội dung | Tiếp theo>