অ্যাক্টিভ ডিরেক্টরি বিরুদ্ধে ওপেনবিএসডি প্রমাণীকরণ

সম্পাদনা করুন: এটিকে প্রশ্নোত্তর হিসাবে পুনরায় ফর্ম্যাট করা হয়েছে। যদি কেউ সম্প্রদায় উইকি থেকে এটি একটি সাধারণ প্রশ্নে পরিবর্তন করতে পারেন তবে এটি সম্ভবত আরও উপযুক্ত।

অ্যাক্টিভ ডিরেক্টরিগুলির বিরুদ্ধে আমি কীভাবে ওপেনবিএসডি অনুমোদন করতে পারি?

মুখবন্ধ

পিএএম ব্যবহারকারী সিস্টেমে কার্বেরোসের সাথে অ্যাক্টিভ ডিরেক্টরি সম্পর্কিত প্রমাণীকরণ করা সহজ, তবে ওপেনবিএসডি এটি জটিল করে তোলে না এবং করে তোলে। একটি টিসিপিডাম্প থেকে দেখে মনে হচ্ছে যে পিএএম সিস্টেমগুলি কেবল প্রাক-প্রমাণীকরণ করছে যখন ওপেনবিএসডি-র বিএসডি_আউথ সিস্টেম পুরো কার্বেরোস প্রমাণীকরণ প্রক্রিয়াটি ব্যবহার করছে।

যাইহোক, এটি বের করতে আমার কিছুটা সময় লেগেছে তাই আশা করি কিছু সংক্ষিপ্ত নির্দেশনা আপনার সময় সাশ্রয় করবে।

আমরা শুরু করার আগে কয়েকটি দ্রুত নোট:

• লগইন করার চেষ্টা করার আগে ব্যবহারকারীদের ওপেনবিএসডি সিস্টেমে উপস্থিত থাকতে হবে। তারা অটোক্রেটেড হয় না।
• আপনি যদি ব্যবহারকারীদের স্বতঃসিদ্ধ করতে চান তবে সাম্বা / উইনবাইন্ডটি দেখুন। আমার এ থেকে ঝামেলা (অবিস্মরণীয় ক্র্যাশগুলি, গুরুতর লগ স্প্যামিং, অবিশ্বাস্য প্রমাণীকরণ) ছাড়া আর কিছুই ছিল না, তাই আমি যখন কেবল তখনই এটি ব্যবহার করি।
• এটি ওপেনবিএসডি 4.5 এবং উইন্ডোজ সার্ভার 2003 এ পরীক্ষা করা হয়েছিল I'm আমি খুব নিশ্চিত যে এটি উইন 2 কে দিয়ে কাজ করবে, তবে ওয়াইএমএমভি।
• ওপেনবিএসডি-র এই সংস্করণটি হিমডাল 0.7.2 ব্যবহার করে। পথ এবং লগইন.কনফ স্টাফগুলি বাদ দিয়ে এখানে সমস্ত কিছু সম্ভবত একই হাইমডাল চালিত অন্যান্য * নিক্সে কাজ করবে তবে আবার ওয়াইএমএমভি।

নির্দেশনা

এই পদক্ষেপগুলি ধরে নেওয়া যায় আপনি EXUPLE.COM ডোমেনের বিরুদ্ধে myuser@myhost.fqdn অনুমোদনের চেষ্টা করছেন। ডোমেন নিয়ামকটি হল pdc.EXAMPLE.COM।

1. মাইহোস্ট নামের একটি অ্যাক্টিভ ডিরেক্টরি ব্যবহারকারী অ্যাকাউন্ট তৈরি করুন (এটি কোনও টাইপো নয়, এই নির্দেশাবলী কোনও কম্পিউটার অ্যাকাউন্ট দিয়ে কাজ করবে না)। পাসওয়ার্ডের মেয়াদোত্তীর্ণতা অক্ষম করুন এবং ব্যবহারকারীর নিজস্ব পাসওয়ার্ড পরিবর্তন করতে দেবেন না। আপনি যা চান পাসওয়ার্ড সেট করুন - এটি শীঘ্রই পরিবর্তন করা হবে।

2. কোনও নতুন ওইউ এর অধীনে ব্যবহারকারীর অ্যাকাউন্ট তৈরি করা, এটি ডোমেন ব্যবহারকারী গ্রুপ থেকে সরানো এবং এটি একটি উত্সর্গীকৃত গ্রুপে যুক্ত করা সম্ভবত একটি ভাল ধারণা। এটি সমস্ত স্বাদের বিষয় এবং আপনার সুরক্ষা বিন্যাস।

3. Pdc.EXAMPLE.COM এ, উইন্ডোজ সার্ভার সমর্থন সরঞ্জামগুলি ডাউনলোড এবং ইনস্টল করুন (বিশেষত, আপনার কেটিপাস.এক্সই প্রয়োজন হবে)

4. Pdc.EXAMPLE.COM এ, চালান:

   কেটিপাস-আউট সি: \ টেম্পের \ myhost.keytab -প্রিন্ট হোস্ট / মাইহোস্ট.ফ্যাকডিএন @ এক্সএএমপিএল.কোম -মাপিউজার মাইহোস্ট -পিটাইপ _কেআরবি 5 এন T_ পিআরসিআইপিএল + আরএনডিপাস

   এটি মাইহোস্ট ব্যবহারকারীর পাসওয়ার্ডটিকে এলোমেলোভাবে (+ rndpass) কিছুতে আপডেট করে, কার্বেরোস প্রিন্সিপালকে "হোস্ট / মাইহোস্ট.ফকডিএন @ এক্সএএমপিএল.কোম" মানচিত্রটি অ্যাক্টিভ ডিরেক্টরিতে "মাইহোস্ট" ব্যবহারকারীর কাছে ম্যাপ করে এবং তারপরে প্রিন্সিপাল এবং প্রাইভেট কী তথ্যটি ডাম্প করে দেয় -আউট-কি-ট্যাব ফাইল।

5. নিরাপদে সি: \ টেম্পের \ myhost.keytab মাইহোস্টে অনুলিপি করুন এবং পিডিসি.এক্সএএমএলপিএল.কম থেকে ফাইলটি মুছুন

6. মাইহোস্টে, আপনার মূল কীট্যাবে অ্যাডি কীট্যাব যুক্ত করুন:

   ktutil copy /path/to/myhost.keytab /etc/kerberosV/krb5.keytab

7. /Etc/krb5.conf কনফিগার করুন। নীচে আপনার প্রয়োজন ন্যূনতম ন্যূনতম। এখানে প্রচুর বিকল্প উপলব্ধ রয়েছে, আরও বিশদ জানতে ম্যানপেজটি দেখুন। এটি সর্বাধিক গ্রহণযোগ্য ঘড়ির স্কিউটি 5 মিনিটের মধ্যে সেট করে, EXAMPLE.COM কে ডিফল্ট রাজ্যে পরিণত করে এবং কার্বেরোসকে কীভাবে ডিএনএস এবং কার্বেরোস অঞ্চলের মধ্যে অনুবাদ করতে হয় তা জানায়।

   [লিবিডাফাল্টস]
   ক্লকস্কিউ = 300
   ডিফল্ট_আরলম = এক্সাম.কোম

   [
   রাজ্যসমূহ ] EXAMPLE.COM = {
   default_domain = EXAMPLE.COM
   }

   [ডোমেন_আরলম]।
   EXAMPLE.COM = উদাহরণ.কম

8. আপনি টিকিট পেতে পারেন তা যাচাই করুন:

   # kinit Administrator@EXAMPLE.COM
Administrator@EXAMPLE.COM's Password:
# klist
Credentials cache: FILE:/tmp/krb5cc_0
Principal: Administrator@EXAMPLE.COM

   Issued Expires Principal
Jun 4 21:41:05 Jun 5 07:40:28 krbtgt/EXAMPLE.COM@EXAMPLE.COM

9. কার্বেরোস প্রমাণীকরণ ব্যবহার করতে /etc/login.conf পরিবর্তন করুন। আপনার সঠিক লগইন.কনফ কনফিগারেশনটি আপনি কীভাবে আপনার সিস্টেমটি ব্যবহার করেন তার উপর নির্ভর করে পরিবর্তিত হবে, তবে একটি ভ্যানিলা ইনস্টল থেকে কার্বেরোস ব্যবহার করার জন্য, কেবল ডিফল্ট লগইন শ্রেণীর অধীনে এই লাইনটি সম্পাদনা করুন এবং মন্তব্য করুন:

   :tc=auth-defaults:\

   এবং এটির উপরে যুক্ত করুন:

   :auth=krb5-or-pwd:\

   ব্যবহারকারী রুট না হলে এটি প্রথমে কার্বেরোস পরীক্ষা করে। যদি কার্বেরোস ব্যর্থ হয় তবে এটি স্থানীয় পাসওয়ার্ড ব্যবহার করবে।

10. আপনি এই হোস্টটিতে প্রমাণীকরণ করতে চান এমন ব্যবহারকারীদের যুক্ত করুন। অ্যাক্টিভ ডিরেক্টরি এবং স্থানীয় পাসওয়ার্ড উভয়ই (প্রস্তাবিত নয়) ব্যবহার করতে সক্ষম হওয়া না চাইলে পাসওয়ার্ডগুলি ফাঁকা রাখুন।

    আপনি বিদ্যমান ব্যবহারকারীদের পাসওয়ার্ড ফাঁকা রাখতে পারেন "চিপাস <user>" এবং একটি "এনক্রিপ্ট করা পাসওয়ার্ড:" মানটি একটি নক্ষত্র (*) দিয়ে প্রতিস্থাপন করুন

11. এসএসএইচ এবং সুডোর পরীক্ষা করুন। উভয়েরই আপনার অ্যাক্টিভ ডিরেক্টরি প্রমাণপত্রাদি নিয়ে ত্রুটিহীনভাবে কাজ করা উচিত।

এখানেই শেষ এটা পেতে ওখানে যাও.

লিংক

একটি দম্পতি দরকারী সাইট:

• কেরবেরোস 5 আন্তঃআবন্ধকতার জন্য ধাপে ধাপে গাইড | মাইক্রোসফ্ট ডক্স
• একটি কারবারোস পরিষেবা প্রধান নাম এবং কীট্যাব ফাইল তৈরি করা আইবিএম নলেজ সেন্টার

তারপরে কয়েকটি জিনিস হিসাবে উপরের নির্দেশিকাগুলির আপডেট।

ওপেনবিএসডি ৫..6-তে কোডের মান সম্পর্কে উদ্বেগের কারণে এবং কেউই এটির নিরীক্ষণের জন্য সময় ব্যয় করতে রাজি না হওয়ায় হেইমডালকে বেস বিতরণ থেকে সরানোর সিদ্ধান্ত নেওয়া হয়েছিল। ৫.7 এ এটি একটি প্যাকেজ হিসাবে উপলব্ধ করা হয়েছিল (৫..6 এর জন্য আপনাকে উত্স থেকে তৈরি করতে হবে বা কীভাবে উত্সে এটি পুনরায় সক্ষম করতে হবে তা নির্ধারণ করতে হবে)। সুতরাং, উপরের নির্দেশাবলী অনুসরণ করার আগে, নিম্নলিখিত অতিরিক্ত পদক্ষেপগুলি সম্পন্ন করতে হবে:

-3। ইনস্টল করুন heimdalএবং login_krb5আপনার প্রিয় আয়না থেকে প্যাকেজ।

-2। অনুলিপি /usr/local/libexec/auth/login_krb5*করুন /usr/libexec/auth।

-1। আপনি যদি হিমডাল সরঞ্জামগুলি অনেক বেশি ব্যবহার করতে চান তবে /usr/local/heimdal/binআপনার সিস্টেমের পথে যুক্ত করুন। অন্যথায়, সরঞ্জামগুলি তাদের ব্যবহার করার সময় তাদের পুরো পথ দিয়ে উল্লেখ করতে ভুলবেন না।

এছাড়াও, krb5.confএবং krb5.keytabফাইল ঢোকা /etc/heimdalএখন।