সম্পাদনা করুন: এটিকে প্রশ্নোত্তর হিসাবে পুনরায় ফর্ম্যাট করা হয়েছে। যদি কেউ সম্প্রদায় উইকি থেকে এটি একটি সাধারণ প্রশ্নে পরিবর্তন করতে পারেন তবে এটি সম্ভবত আরও উপযুক্ত।
অ্যাক্টিভ ডিরেক্টরিগুলির বিরুদ্ধে আমি কীভাবে ওপেনবিএসডি অনুমোদন করতে পারি?
সম্পাদনা করুন: এটিকে প্রশ্নোত্তর হিসাবে পুনরায় ফর্ম্যাট করা হয়েছে। যদি কেউ সম্প্রদায় উইকি থেকে এটি একটি সাধারণ প্রশ্নে পরিবর্তন করতে পারেন তবে এটি সম্ভবত আরও উপযুক্ত।
অ্যাক্টিভ ডিরেক্টরিগুলির বিরুদ্ধে আমি কীভাবে ওপেনবিএসডি অনুমোদন করতে পারি?
উত্তর:
মুখবন্ধ
পিএএম ব্যবহারকারী সিস্টেমে কার্বেরোসের সাথে অ্যাক্টিভ ডিরেক্টরি সম্পর্কিত প্রমাণীকরণ করা সহজ, তবে ওপেনবিএসডি এটি জটিল করে তোলে না এবং করে তোলে। একটি টিসিপিডাম্প থেকে দেখে মনে হচ্ছে যে পিএএম সিস্টেমগুলি কেবল প্রাক-প্রমাণীকরণ করছে যখন ওপেনবিএসডি-র বিএসডি_আউথ সিস্টেম পুরো কার্বেরোস প্রমাণীকরণ প্রক্রিয়াটি ব্যবহার করছে।
যাইহোক, এটি বের করতে আমার কিছুটা সময় লেগেছে তাই আশা করি কিছু সংক্ষিপ্ত নির্দেশনা আপনার সময় সাশ্রয় করবে।
আমরা শুরু করার আগে কয়েকটি দ্রুত নোট:
নির্দেশনা
এই পদক্ষেপগুলি ধরে নেওয়া যায় আপনি EXUPLE.COM ডোমেনের বিরুদ্ধে myuser@myhost.fqdn অনুমোদনের চেষ্টা করছেন। ডোমেন নিয়ামকটি হল pdc.EXAMPLE.COM।
মাইহোস্ট নামের একটি অ্যাক্টিভ ডিরেক্টরি ব্যবহারকারী অ্যাকাউন্ট তৈরি করুন (এটি কোনও টাইপো নয়, এই নির্দেশাবলী কোনও কম্পিউটার অ্যাকাউন্ট দিয়ে কাজ করবে না)। পাসওয়ার্ডের মেয়াদোত্তীর্ণতা অক্ষম করুন এবং ব্যবহারকারীর নিজস্ব পাসওয়ার্ড পরিবর্তন করতে দেবেন না। আপনি যা চান পাসওয়ার্ড সেট করুন - এটি শীঘ্রই পরিবর্তন করা হবে।
কোনও নতুন ওইউ এর অধীনে ব্যবহারকারীর অ্যাকাউন্ট তৈরি করা, এটি ডোমেন ব্যবহারকারী গ্রুপ থেকে সরানো এবং এটি একটি উত্সর্গীকৃত গ্রুপে যুক্ত করা সম্ভবত একটি ভাল ধারণা। এটি সমস্ত স্বাদের বিষয় এবং আপনার সুরক্ষা বিন্যাস।
Pdc.EXAMPLE.COM এ, উইন্ডোজ সার্ভার সমর্থন সরঞ্জামগুলি ডাউনলোড এবং ইনস্টল করুন (বিশেষত, আপনার কেটিপাস.এক্সই প্রয়োজন হবে)
Pdc.EXAMPLE.COM এ, চালান:
কেটিপাস-আউট সি: \ টেম্পের \ myhost.keytab -প্রিন্ট হোস্ট / মাইহোস্ট.ফ্যাকডিএন @ এক্সএএমপিএল.কোম -মাপিউজার মাইহোস্ট -পিটাইপ
_
কেআরবি 5 এন T_ পিআরসিআইপিএল + আরএনডিপাস
এটি মাইহোস্ট ব্যবহারকারীর পাসওয়ার্ডটিকে এলোমেলোভাবে (+ rndpass) কিছুতে আপডেট করে, কার্বেরোস প্রিন্সিপালকে "হোস্ট / মাইহোস্ট.ফকডিএন @ এক্সএএমপিএল.কোম" মানচিত্রটি অ্যাক্টিভ ডিরেক্টরিতে "মাইহোস্ট" ব্যবহারকারীর কাছে ম্যাপ করে এবং তারপরে প্রিন্সিপাল এবং প্রাইভেট কী তথ্যটি ডাম্প করে দেয় -আউট-কি-ট্যাব ফাইল।
নিরাপদে সি: \ টেম্পের \ myhost.keytab মাইহোস্টে অনুলিপি করুন এবং পিডিসি.এক্সএএমএলপিএল.কম থেকে ফাইলটি মুছুন
মাইহোস্টে, আপনার মূল কীট্যাবে অ্যাডি কীট্যাব যুক্ত করুন:
ktutil copy /path/to/myhost.keytab /etc/kerberosV/krb5.keytab
/Etc/krb5.conf কনফিগার করুন। নীচে আপনার প্রয়োজন ন্যূনতম ন্যূনতম। এখানে প্রচুর বিকল্প উপলব্ধ রয়েছে, আরও বিশদ জানতে ম্যানপেজটি দেখুন। এটি সর্বাধিক গ্রহণযোগ্য ঘড়ির স্কিউটি 5 মিনিটের মধ্যে সেট করে, EXAMPLE.COM কে ডিফল্ট রাজ্যে পরিণত করে এবং কার্বেরোসকে কীভাবে ডিএনএস এবং কার্বেরোস অঞ্চলের মধ্যে অনুবাদ করতে হয় তা জানায়।
[লিবিডাফাল্টস]
ক্লকস্কিউ = 300
ডিফল্ট_আরলম = এক্সাম.কোম[
রাজ্যসমূহ ] EXAMPLE.COM = {
default_domain = EXAMPLE.COM
}[ডোমেন_আরলম]।
EXAMPLE.COM = উদাহরণ.কম
আপনি টিকিট পেতে পারেন তা যাচাই করুন:
# kinit Administrator@EXAMPLE.COM
Administrator@EXAMPLE.COM's Password:
# klist
Credentials cache: FILE:/tmp/krb5cc_0
Principal: Administrator@EXAMPLE.COM
Issued Expires Principal
Jun 4 21:41:05 Jun 5 07:40:28 krbtgt/EXAMPLE.COM@EXAMPLE.COM
কার্বেরোস প্রমাণীকরণ ব্যবহার করতে /etc/login.conf পরিবর্তন করুন। আপনার সঠিক লগইন.কনফ কনফিগারেশনটি আপনি কীভাবে আপনার সিস্টেমটি ব্যবহার করেন তার উপর নির্ভর করে পরিবর্তিত হবে, তবে একটি ভ্যানিলা ইনস্টল থেকে কার্বেরোস ব্যবহার করার জন্য, কেবল ডিফল্ট লগইন শ্রেণীর অধীনে এই লাইনটি সম্পাদনা করুন এবং মন্তব্য করুন:
:tc=auth-defaults:\
এবং এটির উপরে যুক্ত করুন:
:auth=krb5-or-pwd:\
ব্যবহারকারী রুট না হলে এটি প্রথমে কার্বেরোস পরীক্ষা করে। যদি কার্বেরোস ব্যর্থ হয় তবে এটি স্থানীয় পাসওয়ার্ড ব্যবহার করবে।
আপনি এই হোস্টটিতে প্রমাণীকরণ করতে চান এমন ব্যবহারকারীদের যুক্ত করুন। অ্যাক্টিভ ডিরেক্টরি এবং স্থানীয় পাসওয়ার্ড উভয়ই (প্রস্তাবিত নয়) ব্যবহার করতে সক্ষম হওয়া না চাইলে পাসওয়ার্ডগুলি ফাঁকা রাখুন।
আপনি বিদ্যমান ব্যবহারকারীদের পাসওয়ার্ড ফাঁকা রাখতে পারেন "চিপাস <user>
" এবং একটি "এনক্রিপ্ট করা পাসওয়ার্ড:" মানটি একটি নক্ষত্র (*) দিয়ে প্রতিস্থাপন করুন
এসএসএইচ এবং সুডোর পরীক্ষা করুন। উভয়েরই আপনার অ্যাক্টিভ ডিরেক্টরি প্রমাণপত্রাদি নিয়ে ত্রুটিহীনভাবে কাজ করা উচিত।
এখানেই শেষ এটা পেতে ওখানে যাও.
লিংক
একটি দম্পতি দরকারী সাইট:
login_krb5-or-pwd
হবে /usr/libexec/auth
- কনফিগারেশন ফাইল এবং কীট্যাব এখন আগের ওপেনবিএসডি প্রকাশের মতো /etc/heimdal
নয় not /etc/kerberosV
তারপরে কয়েকটি জিনিস হিসাবে উপরের নির্দেশিকাগুলির আপডেট।
ওপেনবিএসডি ৫..6-তে কোডের মান সম্পর্কে উদ্বেগের কারণে এবং কেউই এটির নিরীক্ষণের জন্য সময় ব্যয় করতে রাজি না হওয়ায় হেইমডালকে বেস বিতরণ থেকে সরানোর সিদ্ধান্ত নেওয়া হয়েছিল। ৫.7 এ এটি একটি প্যাকেজ হিসাবে উপলব্ধ করা হয়েছিল (৫..6 এর জন্য আপনাকে উত্স থেকে তৈরি করতে হবে বা কীভাবে উত্সে এটি পুনরায় সক্ষম করতে হবে তা নির্ধারণ করতে হবে)। সুতরাং, উপরের নির্দেশাবলী অনুসরণ করার আগে, নিম্নলিখিত অতিরিক্ত পদক্ষেপগুলি সম্পন্ন করতে হবে:
-3। ইনস্টল করুন heimdal
এবং login_krb5
আপনার প্রিয় আয়না থেকে প্যাকেজ।
-2। অনুলিপি /usr/local/libexec/auth/login_krb5*
করুন /usr/libexec/auth
।
-1। আপনি যদি হিমডাল সরঞ্জামগুলি অনেক বেশি ব্যবহার করতে চান তবে /usr/local/heimdal/bin
আপনার সিস্টেমের পথে যুক্ত করুন। অন্যথায়, সরঞ্জামগুলি তাদের ব্যবহার করার সময় তাদের পুরো পথ দিয়ে উল্লেখ করতে ভুলবেন না।
এছাড়াও, krb5.conf
এবং krb5.keytab
ফাইল ঢোকা /etc/heimdal
এখন।