Autentisering via LDAP och Kerberos i FreeBSD 10: Difference between revisions

From Peters wiki
Jump to navigation Jump to search
← Older editNewer edit →
mNo edit summary
Line 57: Line 57:
}}
}}


== LDAP ==
== NSS ==
Installera net/nss-pam-ldapd utan pam_ldap stödet. Vi ska ju inte autentisera mot LDAP:
Installera net/nss-pam-ldapd utan pam_ldap stödet. Vi ska ju inte autentisera mot LDAP:
{{RootCmd|portmaster net/nss-pam-ldapd}}
{{RootCmd|portmaster net/nss-pam-ldapd}}
Line 73: Line 73:
Editera /etc/nsswitch.conf:
Editera /etc/nsswitch.conf:
{{bc|
{{bc|
group: files ldap
group: files sss
passwd: files ldap
passwd: files sss
}}
}}


Revision as of 20:57, 19 December 2015

Denna guide visar hur man sätter upp autentisering via LDAP/Kerberos i FreeBSD 10. Vi kommer använda SSSD och i guiden heter Kerberos realm EXAMPLE.COM och servern med Kerberos och LDAP heter ns.example.com. Klienten vi sätter upp heter client.example.com.

Installera SSSD

Installera följande:

root # portmaster security/cyrus-sasl-gssapi

Välj Heimdal från systemetet, dvs BASE.

root # portmaster net/openldap24-sasl-client

Välja GSSAPI.

Slutligen installera SSSD:

root # portmaster security/sssd

Kerberos

Editera /etc/krb5.conf: 

[libdefaults]
    default_realm = EXAMPLE.COM

[realms]
    EXAMPLE.COM = {
        kdc = ns.example.com
        admin_server = ns.example.com
        default_domain = example.com
    }

[domain_realm]
    .example.com = EXAMPLE.COM
    example.com = EXAMPLE.COM

Skapa en keytab fil för klienten. Logga in mot din KDC med admin-konto som har rättighet att skapa Kerberos principals:

root # /usr/local/bin/kadmin -p kadmin/admin

Kör kadmin kommandot: 

kadmin: addprinc -randkey host/client.example.com@EXAMPLE.COM

Spara sen nycklarna i filen /etc/krb5.keytab: 

kadmin: ktadd -k /etc/krb5.keytab host/client.example.com@EXAMPLE.COM

Logga ut från kadmin.

PAM

Editera /etc/pam.d/system och kommentera fram de 3 Kerberos raderna: 

auth            sufficient      pam_krb5.so             no_warn try_first_pass
account         required        pam_krb5.so
password        sufficient      pam_krb5.so             no_warn try_first_pass

Editera /etc/pam.d/sshd och kommentera fram de 3 Kerberos raderna: 

auth            sufficient      pam_krb5.so             no_warn try_first_pass
account         required        pam_krb5.so
password        sufficient      pam_krb5.so             no_warn try_first_pass

NSS

Installera net/nss-pam-ldapd utan pam_ldap stödet. Vi ska ju inte autentisera mot LDAP:

root # portmaster net/nss-pam-ldapd

Editera /usr/local/etc/nslcd.conf: 

uid nslcd
gid nslcd
uri ldap://ns.example.com/
base dc=example,dc=com
ssl start_tls
tls_cacertfile /etc/ssl/cert.pem

Editera /etc/nsswitch.conf: 

group: files sss
passwd: files sss

Radera länken /etc/ssl/cert.pem och ersätt med ditt egna CA certifikat.

Editera /etc/rc.conf: 

nscd_enable="YES"
nslcd_enable="YES"

Starta nscd och nslcd:

root # service nscd start
root # service nslcd start

Verifiera med kommandona:

root # getent passwd
root # getent group

SSH

För att kunna logga in med Kerberos ticket, editera filen /etc/ssh/sshd_config och ändra följande rad till: 

GSSAPIAuthentication yes

Starta om sshd med kommandot:

root # service sshd restart
Retrieved from "http://www.kerwien.se/index.php?title=Autentisering_via_LDAP_och_Kerberos_i_FreeBSD_10&oldid=3123"