অ্যাক্টিভ ডিরেক্টরি বিরুদ্ধে ওপেনবিএসডি প্রমাণীকরণ


24

সম্পাদনা করুন: এটিকে প্রশ্নোত্তর হিসাবে পুনরায় ফর্ম্যাট করা হয়েছে। যদি কেউ সম্প্রদায় উইকি থেকে এটি একটি সাধারণ প্রশ্নে পরিবর্তন করতে পারেন তবে এটি সম্ভবত আরও উপযুক্ত।

অ্যাক্টিভ ডিরেক্টরিগুলির বিরুদ্ধে আমি কীভাবে ওপেনবিএসডি অনুমোদন করতে পারি?


খুব সুন্দর! এটি দেখতে খুব পুঙ্খানুপুঙ্খভাবে এবং ভাল লেখা। আমি ওপেনবিএসডি ব্যবহার করি না, তবে এডি অংশগুলি স্পট-অন লাগছে।
ইভান অ্যান্ডারসন

একটি দুর্দান্ত গাইডের জন্য +1, যদিও এটি আসলে কোনও প্রশ্ন নয়।
ডেভিড স্মিট

আপনার এটিকে প্রশ্নোত্তর বিন্যাসে পরিবর্তন করা উচিত।
ডগ লাক্সেম

পরিবর্তিত হয়েছে, যদিও এটি এখনও একটি সম্প্রদায়ের উইকি। অন্য কেউ যদি এটি পরিবর্তন করতে পারে তবে এগিয়ে যান।
sh-beta

উত্তর:


17

মুখবন্ধ

পিএএম ব্যবহারকারী সিস্টেমে কার্বেরোসের সাথে অ্যাক্টিভ ডিরেক্টরি সম্পর্কিত প্রমাণীকরণ করা সহজ, তবে ওপেনবিএসডি এটি জটিল করে তোলে না এবং করে তোলে। একটি টিসিপিডাম্প থেকে দেখে মনে হচ্ছে যে পিএএম সিস্টেমগুলি কেবল প্রাক-প্রমাণীকরণ করছে যখন ওপেনবিএসডি-র বিএসডি_আউথ সিস্টেম পুরো কার্বেরোস প্রমাণীকরণ প্রক্রিয়াটি ব্যবহার করছে।

যাইহোক, এটি বের করতে আমার কিছুটা সময় লেগেছে তাই আশা করি কিছু সংক্ষিপ্ত নির্দেশনা আপনার সময় সাশ্রয় করবে।

আমরা শুরু করার আগে কয়েকটি দ্রুত নোট:

  • লগইন করার চেষ্টা করার আগে ব্যবহারকারীদের ওপেনবিএসডি সিস্টেমে উপস্থিত থাকতে হবে। তারা অটোক্রেটেড হয় না।
  • আপনি যদি ব্যবহারকারীদের স্বতঃসিদ্ধ করতে চান তবে সাম্বা / উইনবাইন্ডটি দেখুন। আমার এ থেকে ঝামেলা (অবিস্মরণীয় ক্র্যাশগুলি, গুরুতর লগ স্প্যামিং, অবিশ্বাস্য প্রমাণীকরণ) ছাড়া আর কিছুই ছিল না, তাই আমি যখন কেবল তখনই এটি ব্যবহার করি।
  • এটি ওপেনবিএসডি 4.5 এবং উইন্ডোজ সার্ভার 2003 এ পরীক্ষা করা হয়েছিল I'm আমি খুব নিশ্চিত যে এটি উইন 2 কে দিয়ে কাজ করবে, তবে ওয়াইএমএমভি।
  • ওপেনবিএসডি-র এই সংস্করণটি হিমডাল 0.7.2 ব্যবহার করে। পথ এবং লগইন.কনফ স্টাফগুলি বাদ দিয়ে এখানে সমস্ত কিছু সম্ভবত একই হাইমডাল চালিত অন্যান্য * নিক্সে কাজ করবে তবে আবার ওয়াইএমএমভি।

নির্দেশনা

এই পদক্ষেপগুলি ধরে নেওয়া যায় আপনি EXUPLE.COM ডোমেনের বিরুদ্ধে myuser@myhost.fqdn অনুমোদনের চেষ্টা করছেন। ডোমেন নিয়ামকটি হল pdc.EXAMPLE.COM।

  1. মাইহোস্ট নামের একটি অ্যাক্টিভ ডিরেক্টরি ব্যবহারকারী অ্যাকাউন্ট তৈরি করুন (এটি কোনও টাইপো নয়, এই নির্দেশাবলী কোনও কম্পিউটার অ্যাকাউন্ট দিয়ে কাজ করবে না)। পাসওয়ার্ডের মেয়াদোত্তীর্ণতা অক্ষম করুন এবং ব্যবহারকারীর নিজস্ব পাসওয়ার্ড পরিবর্তন করতে দেবেন না। আপনি যা চান পাসওয়ার্ড সেট করুন - এটি শীঘ্রই পরিবর্তন করা হবে।

  2. কোনও নতুন ওইউ এর অধীনে ব্যবহারকারীর অ্যাকাউন্ট তৈরি করা, এটি ডোমেন ব্যবহারকারী গ্রুপ থেকে সরানো এবং এটি একটি উত্সর্গীকৃত গ্রুপে যুক্ত করা সম্ভবত একটি ভাল ধারণা। এটি সমস্ত স্বাদের বিষয় এবং আপনার সুরক্ষা বিন্যাস।

  3. Pdc.EXAMPLE.COM এ, উইন্ডোজ সার্ভার সমর্থন সরঞ্জামগুলি ডাউনলোড এবং ইনস্টল করুন (বিশেষত, আপনার কেটিপাস.এক্সই প্রয়োজন হবে)

  4. Pdc.EXAMPLE.COM এ, চালান:

    কেটিপাস-আউট সি: \ টেম্পের \ myhost.keytab -প্রিন্ট হোস্ট / মাইহোস্ট.ফ্যাকডিএন @ এক্সএএমপিএল.কোম -মাপিউজার মাইহোস্ট -পিটাইপ _কেআরবি 5 এন T_ পিআরসিআইপিএল + আরএনডিপাস

    এটি মাইহোস্ট ব্যবহারকারীর পাসওয়ার্ডটিকে এলোমেলোভাবে (+ rndpass) কিছুতে আপডেট করে, কার্বেরোস প্রিন্সিপালকে "হোস্ট / মাইহোস্ট.ফকডিএন @ এক্সএএমপিএল.কোম" মানচিত্রটি অ্যাক্টিভ ডিরেক্টরিতে "মাইহোস্ট" ব্যবহারকারীর কাছে ম্যাপ করে এবং তারপরে প্রিন্সিপাল এবং প্রাইভেট কী তথ্যটি ডাম্প করে দেয় -আউট-কি-ট্যাব ফাইল।

  5. নিরাপদে সি: \ টেম্পের \ myhost.keytab মাইহোস্টে অনুলিপি করুন এবং পিডিসি.এক্সএএমএলপিএল.কম থেকে ফাইলটি মুছুন

  6. মাইহোস্টে, আপনার মূল কীট্যাবে অ্যাডি কীট্যাব যুক্ত করুন:

    ktutil copy /path/to/myhost.keytab /etc/kerberosV/krb5.keytab

  7. /Etc/krb5.conf কনফিগার করুন। নীচে আপনার প্রয়োজন ন্যূনতম ন্যূনতম। এখানে প্রচুর বিকল্প উপলব্ধ রয়েছে, আরও বিশদ জানতে ম্যানপেজটি দেখুন। এটি সর্বাধিক গ্রহণযোগ্য ঘড়ির স্কিউটি 5 মিনিটের মধ্যে সেট করে, EXAMPLE.COM কে ডিফল্ট রাজ্যে পরিণত করে এবং কার্বেরোসকে কীভাবে ডিএনএস এবং কার্বেরোস অঞ্চলের মধ্যে অনুবাদ করতে হয় তা জানায়।

    [লিবিডাফাল্টস]
    ক্লকস্কিউ = 300
    ডিফল্ট_আরলম = এক্সাম.কোম

    [
    রাজ্যসমূহ ] EXAMPLE.COM = {
    default_domain = EXAMPLE.COM
    }

    [ডোমেন_আরলম]।
    EXAMPLE.COM = উদাহরণ.কম

  8. আপনি টিকিট পেতে পারেন তা যাচাই করুন:

    # kinit Administrator@EXAMPLE.COM
    Administrator@EXAMPLE.COM's Password:
    # klist
    Credentials cache: FILE:/tmp/krb5cc_0
    Principal: Administrator@EXAMPLE.COM

    Issued Expires Principal
    Jun 4 21:41:05 Jun 5 07:40:28 krbtgt/EXAMPLE.COM@EXAMPLE.COM

  9. কার্বেরোস প্রমাণীকরণ ব্যবহার করতে /etc/login.conf পরিবর্তন করুন। আপনার সঠিক লগইন.কনফ কনফিগারেশনটি আপনি কীভাবে আপনার সিস্টেমটি ব্যবহার করেন তার উপর নির্ভর করে পরিবর্তিত হবে, তবে একটি ভ্যানিলা ইনস্টল থেকে কার্বেরোস ব্যবহার করার জন্য, কেবল ডিফল্ট লগইন শ্রেণীর অধীনে এই লাইনটি সম্পাদনা করুন এবং মন্তব্য করুন:

    :tc=auth-defaults:\

    এবং এটির উপরে যুক্ত করুন:

    :auth=krb5-or-pwd:\

    ব্যবহারকারী রুট না হলে এটি প্রথমে কার্বেরোস পরীক্ষা করে। যদি কার্বেরোস ব্যর্থ হয় তবে এটি স্থানীয় পাসওয়ার্ড ব্যবহার করবে।

  10. আপনি এই হোস্টটিতে প্রমাণীকরণ করতে চান এমন ব্যবহারকারীদের যুক্ত করুন। অ্যাক্টিভ ডিরেক্টরি এবং স্থানীয় পাসওয়ার্ড উভয়ই (প্রস্তাবিত নয়) ব্যবহার করতে সক্ষম হওয়া না চাইলে পাসওয়ার্ডগুলি ফাঁকা রাখুন।

    আপনি বিদ্যমান ব্যবহারকারীদের পাসওয়ার্ড ফাঁকা রাখতে পারেন "চিপাস <user>" এবং একটি "এনক্রিপ্ট করা পাসওয়ার্ড:" মানটি একটি নক্ষত্র (*) দিয়ে প্রতিস্থাপন করুন

  11. এসএসএইচ এবং সুডোর পরীক্ষা করুন। উভয়েরই আপনার অ্যাক্টিভ ডিরেক্টরি প্রমাণপত্রাদি নিয়ে ত্রুটিহীনভাবে কাজ করা উচিত।

এখানেই শেষ এটা পেতে ওখানে যাও.

লিংক

একটি দম্পতি দরকারী সাইট:


দেখে মনে হচ্ছে ২০০৮ আর 2 এর কেটিপাস.এক্সই বেকড রয়েছে 2008 সম্ভবত ২০০৮, এই পর্যায়ে নিশ্চিত করে বলতে পারছে না। যদি কেউ স্পষ্ট করতে পারে তবে তা দুর্দান্ত হবে।
অ্যারন ম্যাসন

তদ্ব্যতীত, 5.7 এর পরে এটি করার জন্য আপনাকে হিমডাল প্যাকেজটি ইনস্টল করতে হবে - এটি বেস থেকে 5.6 তে সরানো হয়েছে।
অ্যারন ম্যাসন

পূর্ববর্তী মন্তব্যে সংযোজন - আপনাকে login_krb5 প্যাকেজটি ইনস্টল করতে হবে এবং এতে অনুলিপি করতে login_krb5-or-pwdহবে /usr/libexec/auth- কনফিগারেশন ফাইল এবং কীট্যাব এখন আগের ওপেনবিএসডি প্রকাশের মতো /etc/heimdalনয় not /etc/kerberosV
অ্যারন ম্যাসন

5

তারপরে কয়েকটি জিনিস হিসাবে উপরের নির্দেশিকাগুলির আপডেট।

ওপেনবিএসডি ৫..6-তে কোডের মান সম্পর্কে উদ্বেগের কারণে এবং কেউই এটির নিরীক্ষণের জন্য সময় ব্যয় করতে রাজি না হওয়ায় হেইমডালকে বেস বিতরণ থেকে সরানোর সিদ্ধান্ত নেওয়া হয়েছিল। ৫.7 এ এটি একটি প্যাকেজ হিসাবে উপলব্ধ করা হয়েছিল (৫..6 এর জন্য আপনাকে উত্স থেকে তৈরি করতে হবে বা কীভাবে উত্সে এটি পুনরায় সক্ষম করতে হবে তা নির্ধারণ করতে হবে)। সুতরাং, উপরের নির্দেশাবলী অনুসরণ করার আগে, নিম্নলিখিত অতিরিক্ত পদক্ষেপগুলি সম্পন্ন করতে হবে:

-3। ইনস্টল করুন heimdalএবং login_krb5আপনার প্রিয় আয়না থেকে প্যাকেজ।

-2। অনুলিপি /usr/local/libexec/auth/login_krb5*করুন /usr/libexec/auth

-1। আপনি যদি হিমডাল সরঞ্জামগুলি অনেক বেশি ব্যবহার করতে চান তবে /usr/local/heimdal/binআপনার সিস্টেমের পথে যুক্ত করুন। অন্যথায়, সরঞ্জামগুলি তাদের ব্যবহার করার সময় তাদের পুরো পথ দিয়ে উল্লেখ করতে ভুলবেন না।

এছাড়াও, krb5.confএবং krb5.keytabফাইল ঢোকা /etc/heimdalএখন।

আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.