Autentisering via LDAP och Kerberos i FreeBSD 10: Difference between revisions

Revision as of 08:38, 20 October 2015

Denna guide är under utveckling.

Denna guide visar hur man sätter upp en FreeBSD 10 maskin att autentisera användare via Kerberos och hämta användarinformation från LDAP.

Kerberos

Installera följande:

root # portmaster security/pam_krb5

Välj att länka mot Heimdal Kerberos. Editera /etc/krb5.conf:

[libdefaults]
    default_realm = EXAMPLE.COM

[realms]
    EXAMPLE.COM = {
        kdc = kdc.example.com
	admin_server = kdc.example.com
	default_domain = example.com
    }

[domain_realm]
    .example.com = EXAMPLE.COM
    example.com = EXAMPLE.COM

Skapa en Kerberos principal för host/<host>.example.com och kopiera nycklarna till /etc/krb5.keytab.

Editera /etc/pam.d/sshd och lägg till följande rader:

auth            sufficient      /usr/local/lib/security/pam_krb5.so     try_first_pass minimum_uid=5000
account         required        /usr/local/lib/security/pam_krb5.so     minimum_uid=5000
password        sufficient      /usr/local/lib/security/pam_krb5.so     try_first_pass minimum_uid=5000

LDAP

root # portmaster net/nss-pam-ldapd

Välj bort pam_ldap stödet.

Editera /usr/local/etc/nslcd.conf:

uid nslcd
gid nslcd
uri ldap://ldap.example.com/
base dc=example,dc=com
ssl start_tls
tls_cacertfile /etc/ssl/cert.pem

Editera /etc/nsswitch.conf:

group: files ldap
passwd: files ldap

Radera länken /etc/ssl/cert.pem och ersätt med ditt egna CA certifikat.

Editera /etc/rc.conf:

nscd=_enable="YES"
nslcd_enable="YES"

Starta nscd och nslcd:

root # service nscd start root #service nslcd start

Verifiera med kommandona:

root # getent passwd root #getent group

SSH

Editera filen /etc/ssh/sshd_config och lägg till följande:

KerberosAuthentication yes

Starta om sshd med kommandot:

root # service sshd restart

@@ Line 26: / Line 26: @@
 Skapa en Kerberos principal för host/<host>.example.com och kopiera nycklarna till /etc/krb5.keytab.
-Editera följande /etc/pam.d filer och rader:
+Editera /etc/pam.d/sshd och lägg till följande rader:
 {{bc|1=
-other:auth		sufficient	/usr/local/lib/security/pam_krb5.so	try_first_pass minimum_uid=5000
+auth            sufficient      /usr/local/lib/security/pam_krb5.so     try_first_pass minimum_uid=5000
-other:account		required	/usr/local/lib/security/pam_krb5.so	minimum_uid=5000
+account         required        /usr/local/lib/security/pam_krb5.so     minimum_uid=5000
-sshd:auth		sufficient	/usr/local/lib/security/pam_krb5.so	try_first_pass minimum_uid=5000
+password        sufficient      /usr/local/lib/security/pam_krb5.so     try_first_pass minimum_uid=5000
-sshd:account		required	/usr/local/lib/security/pam_krb5.so	minimum_uid=5000
-sshd:password	        sufficient	/usr/local/lib/security/pam_krb5.so	try_first_pass minimum_uid=5000
-system:auth		sufficient	/usr/local/lib/security/pam_krb5.so	try_first_pass minimum_uid=5000
-system:account		required	/usr/local/lib/security/pam_krb5.so	minimum_uid=5000
-system:password	        sufficient	/usr/local/lib/security/pam_krb5.so	try_first_pass minimum_uid=5000
 }}

Autentisering via LDAP och Kerberos i FreeBSD 10: Difference between revisions

Revision as of 08:38, 20 October 2015

Kerberos

LDAP

SSH

Navigation menu

Search