सक्रिय निर्देशिका के खिलाफ OpenBSD का प्रमाणीकरण

संपादित करें: इसे Q & A के रूप में पुन : स्वरूपित किया गया। यदि कोई इसे समुदाय विकी से एक विशिष्ट प्रश्न में बदल सकता है, तो संभवतः यह अधिक उपयुक्त है।

मैं सक्रिय निर्देशिका के खिलाफ OpenBSD को कैसे प्रमाणित कर सकता हूं?

प्रस्तावना

कर्बेरोस के साथ सक्रिय निर्देशिका के खिलाफ प्रमाणीकरण पीएएम का उपयोग करने वाले सिस्टम पर बहुत सरल है, लेकिन ओपनबीएसडी इसे और अधिक कठिन नहीं बनाता है। Tcpdump से, ऐसा लगता है कि PAM सिस्टम केवल प्री-ऑथेंटिकेशन कर रहे हैं, जबकि OpenBSD का bsd_auth सिस्टम पूरी केर्बोस प्रमाणीकरण प्रक्रिया का उपयोग कर रहा है।

वैसे भी, मुझे यह पता लगाने में थोड़ा समय लगा, इसलिए उम्मीद है कि कुछ संक्षिप्त निर्देश आपको समय बचाएंगे।

शुरू करने से पहले कुछ त्वरित नोट्स:

• लॉगिन करने का प्रयास करने से पहले उपयोगकर्ताओं को ओपनबीएसडी सिस्टम पर मौजूद होना चाहिए। वे निरंकुश नहीं हैं।
• यदि आप चाहते हैं कि उपयोगकर्ता स्वतः संपन्न हों, तो सांबा / विनबिंड देखें। मेरे पास इससे परेशानी (अकथनीय क्रैश, गंभीर लॉग स्पैमिंग, अविश्वसनीय प्रमाणीकरण) के अलावा कुछ भी नहीं है, इसलिए मुझे इसका उपयोग केवल तब करना है जब मुझे करना है।
• यह OpenBSD 4.5 और विंडोज सर्वर 2003 पर परीक्षण किया गया था। मुझे पूरा यकीन है कि यह Win2k के साथ काम करेगा, लेकिन YMMV।
• ओपनबीएसडी के इस संस्करण में हेमडाल 0.7.2 का उपयोग किया गया है। रास्तों और login.conf सामान से अलग यहां सब कुछ संभवत: एक ही हेमडाल चलाने वाले अन्य * निक्स पर काम करेगा, लेकिन फिर से, वाईएमएमवी।

अनुदेश

ये चरण मान लेते हैं कि आप myuser@myhost.fqdn को डोमेन EXAMPLE.COM के विरुद्ध प्रमाणित करने का प्रयास कर रहे हैं। डोमेन नियंत्रक pdc.EXAMPLE.COM है।

1. एक सक्रिय निर्देशिका उपयोगकर्ता खाता बनाएँ जिसका नाम myhost है (यह एक टाइपो नहीं है, ये निर्देश कंप्यूटर खाते के साथ काम नहीं करेंगे)। पासवर्ड की समाप्ति को अक्षम करें और उपयोगकर्ता को अपना पासवर्ड बदलने न दें। जो भी आपको पसंद हो उसका पासवर्ड सेट करें - इसे जल्द ही बदल दिया जाएगा।

2. शायद यह एक अच्छा विचार है कि एक नए OU के तहत उपयोगकर्ता खाता बनाने के लिए, इसे डोमेन उपयोगकर्ता समूह से हटा दें और इसे समर्पित समूह में जोड़ें। यह सब स्वाद और आपके सुरक्षा लेआउट का मामला है।

3. Pdc.EXAMPLE.COM पर, विंडोज सर्वर सपोर्ट टूल डाउनलोड करें और इंस्टॉल करें (विशेष रूप से, आपको ktpass.exe की आवश्यकता होगी)

4. Pdc.EXAMPLE.COM पर, चलाएं:

   ktpass -out c: \ temp \ myhost.keytab -princ host/myhost.fqdn@EXAMPLE.COM -mapuser myhost -pType KRB5 _NT_PRINCIPAL + andndpass

   यह myhost उपयोगकर्ता के पासवर्ड को कुछ रैंडम (+ रेंडपास) में अपडेट करता है, सक्रिय निर्देशिका में उपयोगकर्ता "myhost" के लिए Kerberos प्रिंसिपल "host/myhost.fqdn@EXAMPLE.COM" मैप करता है, और फिर प्रिंसिपल और निजी कुंजी जानकारी को इसमें डालता है। -आउट कीटैब फाइल।

5. सुरक्षित रूप से c: \ temp \ myhost.keytab को myhost में कॉपी करें और फाइल को pdc.EXAMPLE.COM से हटाएं

6. Myhost पर, AD keytab को अपने मुख्य keytab में जोड़ें:

   ktutil copy /path/to/myhost.keytab /etc/kerberosV/krb5.keytab

7. कॉन्फ़िगर करें /etc/krb5.conf। नीचे नंगे न्यूनतम है जो आपको चाहिए। बहुत सारे विकल्प उपलब्ध हैं, अधिक जानकारी के लिए मैनपेज पर एक नज़र डालें। यह सिर्फ अधिकतम स्वीकार्य घड़ी तिरछा को 5 मिनट के लिए सेट करता है, EXAMPLE.COM को डिफ़ॉल्ट क्षेत्र बनाता है, और Kerberos को DNS और Kerberos स्थानों के बीच अनुवाद करने का तरीका बताता है।

   [libdefaults]
   clockskew = 300
   default_realm = EXAMPLE.COM

   [realms]
   EXAMPLE.COM = {
   default_domain = EXAMPLE.COM
   }

   [domain_realm]
   .EXAMPLE.COM = EXAMPLE.COM

8. सत्यापित करें कि आपको टिकट मिल सकता है:

   # kinit Administrator@EXAMPLE.COM
Administrator@EXAMPLE.COM's Password:
# klist
Credentials cache: FILE:/tmp/krb5cc_0
Principal: Administrator@EXAMPLE.COM

   Issued Expires Principal
Jun 4 21:41:05 Jun 5 07:40:28 krbtgt/EXAMPLE.COM@EXAMPLE.COM

9. Kerberos प्रमाणीकरण का उपयोग करने के लिए /etc/login.conf संशोधित करें। आप अपने सिस्टम का उपयोग कैसे करते हैं, इसके आधार पर आपका सटीक login.conf कॉन्फ़िगरेशन अलग-अलग होगा, लेकिन Kerberos का उपयोग करने के लिए एक वेनिला इंस्टॉल से जाने के लिए, डिफ़ॉल्ट लॉगिन वर्ग के तहत इस लाइन को संपादित और टिप्पणी करें:

   :tc=auth-defaults:\

   और इसके ऊपर जोड़ें:

   :auth=krb5-or-pwd:\

   उपयोगकर्ता के रूट होने तक यह सबसे पहले केर्बेरस की जांच करता है। यदि Kerberos विफल रहता है, तो वह स्थानीय पासवर्ड का उपयोग करेगा।

10. उन उपयोगकर्ताओं को जोड़ें जिन्हें आप इस होस्ट पर प्रमाणित करना चाहते हैं। जब तक आप उन्हें सक्रिय निर्देशिका और स्थानीय पासवर्ड (अनुशंसित नहीं) दोनों का उपयोग करने में सक्षम होना चाहते हैं, तब तक पासवर्ड को खाली छोड़ दें।

    आप मौजूदा उपयोगकर्ताओं के पासवर्ड "चेस <user>" को खाली कर सकते हैं और "एन्क्रिप्टेड पासवर्ड:" मान को तारांकन चिह्न (*) से बदल सकते हैं

11. एसएसएच और सूडो का परीक्षण करें। दोनों को आपके सक्रिय निर्देशिका क्रेडेंशियल्स के साथ निर्दोष रूप से काम करना चाहिए।

यही सब है इसके लिए।

लिंक

कुछ उपयोगी साइटें:

• चरण-दर-चरण गाइड केर्बरोस 5 इंटरऑपरेबिलिटी | Microsoft डॉक्स
• एक Kerberos सेवा का मुख्य नाम और कीटाब फ़ाइल बनाना | आईबीएम नॉलेज सेंटर

तब से कुछ निर्देशों के रूप में ऊपर दिए गए निर्देशों का अपडेट बदल गया है।

ओपनबीएसडी 5.6 में, कोड की गुणवत्ता के बारे में चिंताओं के कारण आधार वितरण से हेमडाल को हटाने का फैसला किया गया था और कोई भी इसे ऑडिट करने के लिए समय बिताने को तैयार नहीं था। 5.7 में इसे एक पैकेज के रूप में उपलब्ध कराया गया था (5.6 के लिए आपको स्रोत से निर्माण करना होगा या यह पता लगाना होगा कि इसे स्रोत में फिर से कैसे सक्षम किया जाए)। इसलिए, उपरोक्त निर्देशों का पालन करने से पहले, निम्नलिखित अतिरिक्त चरणों को पूरा करना होगा:

-3। अपने पसंदीदा दर्पण से पैकेज heimdalऔर login_krb5पैकेज स्थापित करें ।

-2। को कॉपी /usr/local/libexec/auth/login_krb5*करें /usr/libexec/auth।

-1। यदि आप हेमडाल टूल्स का उपयोग करने का इरादा रखते हैं, तो /usr/local/heimdal/binअपने सिस्टम पथ में जोड़ें । अन्यथा, उपकरण का उपयोग करते समय उनके पूर्ण पथ के साथ संदर्भ देना सुनिश्चित करें।

इसके अलावा, krb5.confऔर krb5.keytabफ़ाइलें /etc/heimdalअब अंदर जाती हैं।