Sunting: Memformat ulang ini sebagai Tanya Jawab. Jika ada yang bisa mengubah ini dari Komunitas Wiki ke pertanyaan umum, itu mungkin lebih tepat juga.
Bagaimana saya bisa mengotentikasi OpenBSD terhadap Active Directory?
Sunting: Memformat ulang ini sebagai Tanya Jawab. Jika ada yang bisa mengubah ini dari Komunitas Wiki ke pertanyaan umum, itu mungkin lebih tepat juga.
Bagaimana saya bisa mengotentikasi OpenBSD terhadap Active Directory?
Jawaban:
Kata pengantar
Mengautentikasi terhadap Active Directory dengan Kerberos cukup sederhana pada sistem yang menggunakan PAM, tetapi OpenBSD tidak dan membuatnya lebih sulit. Dari tcpdump, sepertinya sistem PAM hanya melakukan pra-otentikasi sementara sistem bsd_auth OpenBSD menggunakan seluruh proses otentikasi Kerberos.
Bagaimanapun, ini perlu waktu beberapa saat untuk mencari tahu jadi mudah-mudahan beberapa instruksi singkat akan menghemat waktu Anda.
Beberapa catatan singkat sebelum kita mulai:
Instruksi
Langkah-langkah ini mengasumsikan Anda mencoba mengautentikasi myuser@myhost.fqdn terhadap domain EXAMPLE.COM. Pengontrol domain adalah pdc.EXAMPLE.COM.
Buat akun Pengguna Direktori Aktif yang bernama myhost (itu bukan salah ketik, instruksi ini tidak akan berfungsi dengan akun Komputer). Nonaktifkan kadaluarsa kata sandi dan jangan biarkan pengguna mengubah kata sandi sendiri. Setel kata sandi untuk apa pun yang Anda suka - itu akan segera diubah.
Mungkin ide yang baik untuk membuat akun Pengguna di bawah OU baru, menghapusnya dari grup Pengguna Domain dan menambahkannya ke grup khusus. Ini semua masalah selera dan tata letak keamanan Anda.
Pada pdc.EXAMPLE.COM, unduh dan instal Alat Dukungan Server Windows (khusus, Anda akan memerlukan ktpass.exe)
Pada pdc.EXAMPLE.COM, jalankan:
ktpass -out c: \ temp \ myhost.keytab -princ host / myhost.fqdn@EXAMPLE.COM -mapuser myhost
_
-pType KRB5 NT_PRINCIPAL + rndpass
Ini memperbarui kata sandi pengguna myhost ke sesuatu yang acak (+ rndpass), memetakan prinsip utama Kerberos "host/myhost.fqdn@EXAMPLE.COM" ke "myhost" pengguna di Direktori Aktif, dan kemudian memasukkan info kunci utama dan pribadi ke dalam File keytab keluar.
Salin dengan aman c: \ temp \ myhost.keytab ke myhost dan hapus file dari pdc.EXAMPLE.COM
Di myhost, tambahkan keytab AD ke keytab utama Anda:
ktutil salin /path/to/myhost.keytab /etc/kerberosV/krb5.keytab
Konfigurasikan /etc/krb5.conf. Di bawah ini adalah minimum yang Anda butuhkan. Ada banyak opsi yang tersedia, lihat halaman manual untuk lebih jelasnya. Ini hanya menetapkan jam maksimum yang dapat diterima condong ke 5 menit, menjadikan EXAMPLE.COM ranah default, dan memberi tahu Kerberos cara menerjemahkan antara ranah DNS dan Kerberos.
[libdefaults]
clockskew = 300
default_realm = EXAMPLE.COM[realms]
EXAMPLE.COM = {
default_domain = EXAMPLE.COM
}[domain_realm]
.EXAMPLE.COM = EXAMPLE.COM
Verifikasi bahwa Anda bisa mendapatkan tiket:
# kinit Administrator@EXAMPLE.COM
Administrator@EXAMPLE.COM's Password:
# klist
Credentials cache: FILE:/tmp/krb5cc_0
Principal: Administrator@EXAMPLE.COM
Issued Expires Principal
Jun 4 21:41:05 Jun 5 07:40:28 krbtgt/EXAMPLE.COM@EXAMPLE.COM
Ubah /etc/login.conf untuk menggunakan otentikasi Kerberos. Konfigurasi login.conf Anda yang tepat akan bervariasi tergantung pada bagaimana Anda menggunakan sistem Anda, tetapi untuk beralih dari pemasangan vanilla ke menggunakan Kerberos, cukup edit dan komentar baris ini di bawah kelas login default:
:tc=auth-defaults:\
Dan tambahkan di atasnya:
:auth=krb5-or-pwd:\
Ini memeriksa Kerberos terlebih dahulu kecuali pengguna root. Jika Kerberos gagal, itu akan menggunakan kata sandi lokal.
Tambahkan pengguna yang ingin Anda otentikasi pada host ini. Biarkan kata sandi kosong kecuali Anda ingin mereka dapat menggunakan Direktori Aktif dan kata sandi lokal (tidak disarankan).
Anda dapat mengosongkan kata sandi "sandi" pengguna yang ada <user>
dan mengganti nilai "Kata sandi terenkripsi:" dengan tanda bintang (*)
Uji SSH dan Sudo. Keduanya harus bekerja dengan sempurna dengan kredensial Active Directory Anda.
Itu semua yang ada untuk itu.
Tautan
Beberapa situs yang bermanfaat:
login_krb5-or-pwd
ke /usr/libexec/auth
- juga file konfigurasi dan keytab sekarang dalam /etc/heimdal
dan tidak /etc/kerberosV
seperti dalam rilis OpenBSD sebelumnya.
Pembaruan untuk petunjuk di atas karena beberapa hal telah berubah sejak saat itu.
Di OpenBSD 5.6, keputusan dibuat untuk menghapus Heimdal dari distribusi basis karena kekhawatiran tentang kualitas kode dan tidak ada yang mau meluangkan waktu untuk mengauditnya. Di 5.7 itu tersedia sebagai paket (Untuk 5.6 Anda harus membangun dari sumber atau mencari cara mengaktifkannya kembali di sumber). Jadi, sebelum mengikuti instruksi di atas, langkah-langkah tambahan berikut perlu diselesaikan:
-3. Instal heimdal
dan login_krb5
paket dari mirror favorit Anda.
-2. Salin /usr/local/libexec/auth/login_krb5*
ke /usr/libexec/auth
.
-1. Jika Anda sering menggunakan alat heimdal, tambahkan /usr/local/heimdal/bin
ke jalur sistem Anda. Jika tidak, pastikan untuk merujuk alat dengan jalur lengkapnya saat menggunakannya.
Juga, file krb5.conf
dan krb5.keytab
masuk ke /etc/heimdal
sekarang.