Auth krb — различия между версиями
Материал из pNp Wiki
Andy (обсуждение | вклад) (→Предварительные требования) |
Andy (обсуждение | вклад) |
||
| Строка 3: | Строка 3: | ||
==== Предварительные требования ==== | ==== Предварительные требования ==== | ||
* Две виртуальная машины с двумя сетевыми интерфейсами в каждой | * Две виртуальная машины с двумя сетевыми интерфейсами в каждой | ||
| − | * Установленные пакеты: <code>bash-completion</code>, <code>pam_krb5</code>, <code>nss-pam-ldapd</code>, <code>sssd-ldap</code>, <code>sssd</code>, <code>sssd-krb5</code>, <code>sssd-krb5-common</code>, <code>sssd-client</code>, <code>oddjob</code>, <code>oddjob-mkhomedir</code> | + | * Установленные пакеты: <code>bash-completion</code>, <code>pam_krb5</code>, <code>nss-pam-ldapd</code>, <code>sssd-ldap</code>, <code>sssd</code>, <code>sssd-krb5</code>, <code>sssd-krb5-common</code>, <code>sssd-client</code>, <code>oddjob</code>, <code>oddjob-mkhomedir</code>, <code>openldap-clients</code> |
* Установленный и настроенный сервис точного времени | * Установленный и настроенный сервис точного времени | ||
* Наличие прямой и обратной записи клиента и kerberos сервера в DNS. | * Наличие прямой и обратной записи клиента и kerberos сервера в DNS. | ||
== Предварительная настройка сетевых интерфейсов на виртуальных машинах == | == Предварительная настройка сетевых интерфейсов на виртуальных машинах == | ||
| − | = | + | Сначала стоит проверить прямую и обратную записи нашего клиента: |
| + | <syntaxhighlight lang="bash"> | ||
| + | [root@vm-01 ~]# hostnamectl | ||
| + | Static hostname: vm-01.virtual.lab | ||
| + | Icon name: computer | ||
| + | Chassis: n/a | ||
| + | Machine ID: dae7e96c98de7f40aeb335bcaf3e35c2 | ||
| + | Boot ID: 36ea0ee3d744490e897c7f595bb98978 | ||
| + | Virtualization: kvm | ||
| + | Operating System: Red Hat Enterprise Linux Server 7.0 (Maipo) | ||
| + | CPE OS Name: cpe:/o:redhat:enterprise_linux:7.0:GA:server | ||
| + | Kernel: Linux 3.10.0-123.el7.x86_64 | ||
| + | Architecture: x86_64 | ||
| + | [root@vm-01 ~]# dig vm-01.virtual.lab @192.168.10.10 +noall +answer | ||
| + | ; <<>> DiG 9.9.4-RedHat-9.9.4-14.el7 <<>> vm-01.virtual.lab @192.168.10.10 +noall +answer | ||
| + | ;; global options: +cmd | ||
| + | vm-01.virtual.lab. 3600 IN A 192.168.10.8 | ||
| + | [root@vm-01 ~]# dig -x 192.168.10.8 @192.168.10.10 +noall +answer | ||
| + | |||
| + | ; <<>> DiG 9.9.4-RedHat-9.9.4-14.el7 <<>> -x 192.168.10.8 @192.168.10.10 +noall +answer | ||
| + | ;; global options: +cmd | ||
| + | 8.10.168.192.in-addr.arpa. 3600 IN PTR vm-01.virtual.lab. | ||
| + | [root@vm-01 ~]# | ||
| + | </syntaxhighlight> | ||
| + | |||
| + | Далее, следует убедиться, что LDAP сервер настроен и отдает пользователей/группы: | ||
<syntaxhighlight lang="bash"> | <syntaxhighlight lang="bash"> | ||
| + | [root@vm-01 ~]# ldapsearch -LLL -H ldap://vm-03.virtual.lab -D "cn=admin,dc=virtual,dc=lab" -b "dc=virtual,dc=lab" -W "(uid=randy)" | ||
| + | Enter LDAP Password: | ||
| + | dn: uid=randy,ou=users,dc=virtual,dc=lab | ||
| + | displayName: Randall Clark | ||
| + | uid: randy | ||
| + | objectClass: inetOrgPerson | ||
| + | objectClass: organizationalPerson | ||
| + | objectClass: person | ||
| + | objectClass: posixAccount | ||
| + | objectClass: top | ||
| + | loginShell: /bin/bash | ||
| + | userPassword:: e1NTSEF9aGdmWlNsUTlUb3g1NHVpM3lrV3FVMEo1S1hUd0s4amg= | ||
| + | uidNumber: 10002 | ||
| + | gidNumber: 10000 | ||
| + | sn: Clark | ||
| + | homeDirectory: /home/randy | ||
| + | mail: rclark@virtual.lab | ||
| + | givenName: Randall | ||
| + | cn: randy | ||
| + | [root@vm-01 ~] | ||
</syntaxhighlight> | </syntaxhighlight> | ||
| + | |||
== Ссылки == | == Ссылки == | ||
[https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/7/html/networking_guide/sec-editing_network_configuration_files Редакирование конфигурационных файлов сети] | [https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/7/html/networking_guide/sec-editing_network_configuration_files Редакирование конфигурационных файлов сети] | ||
Версия 15:25, 26 ноября 2018
Содержание
Настройка аутентикации Kerberos
Предварительные требования
- Две виртуальная машины с двумя сетевыми интерфейсами в каждой
- Установленные пакеты:
bash-completion,pam_krb5,nss-pam-ldapd,sssd-ldap,sssd,sssd-krb5,sssd-krb5-common,sssd-client,oddjob,oddjob-mkhomedir,openldap-clients - Установленный и настроенный сервис точного времени
- Наличие прямой и обратной записи клиента и kerberos сервера в DNS.
Предварительная настройка сетевых интерфейсов на виртуальных машинах
Сначала стоит проверить прямую и обратную записи нашего клиента:
[root@vm-01 ~]# hostnamectl
Static hostname: vm-01.virtual.lab
Icon name: computer
Chassis: n/a
Machine ID: dae7e96c98de7f40aeb335bcaf3e35c2
Boot ID: 36ea0ee3d744490e897c7f595bb98978
Virtualization: kvm
Operating System: Red Hat Enterprise Linux Server 7.0 (Maipo)
CPE OS Name: cpe:/o:redhat:enterprise_linux:7.0:GA:server
Kernel: Linux 3.10.0-123.el7.x86_64
Architecture: x86_64
[root@vm-01 ~]# dig vm-01.virtual.lab @192.168.10.10 +noall +answer
; <<>> DiG 9.9.4-RedHat-9.9.4-14.el7 <<>> vm-01.virtual.lab @192.168.10.10 +noall +answer
;; global options: +cmd
vm-01.virtual.lab. 3600 IN A 192.168.10.8
[root@vm-01 ~]# dig -x 192.168.10.8 @192.168.10.10 +noall +answer
; <<>> DiG 9.9.4-RedHat-9.9.4-14.el7 <<>> -x 192.168.10.8 @192.168.10.10 +noall +answer
;; global options: +cmd
8.10.168.192.in-addr.arpa. 3600 IN PTR vm-01.virtual.lab.
[root@vm-01 ~]#
Далее, следует убедиться, что LDAP сервер настроен и отдает пользователей/группы:
[root@vm-01 ~]# ldapsearch -LLL -H ldap://vm-03.virtual.lab -D "cn=admin,dc=virtual,dc=lab" -b "dc=virtual,dc=lab" -W "(uid=randy)"
Enter LDAP Password:
dn: uid=randy,ou=users,dc=virtual,dc=lab
displayName: Randall Clark
uid: randy
objectClass: inetOrgPerson
objectClass: organizationalPerson
objectClass: person
objectClass: posixAccount
objectClass: top
loginShell: /bin/bash
userPassword:: e1NTSEF9aGdmWlNsUTlUb3g1NHVpM3lrV3FVMEo1S1hUd0s4amg=
uidNumber: 10002
gidNumber: 10000
sn: Clark
homeDirectory: /home/randy
mail: rclark@virtual.lab
givenName: Randall
cn: randy
[root@vm-01 ~]
