Activation de la liaison Kerberos du serveur IDS
La procédure suivante permet d'activer le serveur IDS pour la liaison Kerberos.
L'exemple suivant montre comment configurer un serveur IDS pour la liaison Kerberos.
Cet exemple a été testé à l'aide d'IDS v5.1 :
- Installez l'ensemble de fichiers krb5.client .
- Vérifiez que le fichier /etc/krb5/krb5.conf existe et qu'il est configuré correctement. Si vous devez le configurer, vous pouvez exécuter la commande /usr/sbin/config.krb5 .
# config.krb5 -r ud3a.austin.ibm.com -d austin.ibm.com -c KDC -s alyssa.austin.ibm.com Initializing configuration... Creating /etc/krb5/krb5_cfg_type... Creating /etc/krb5/krb5.conf... The command completed successfully. # cat /etc/krb5/krb5.conf [libdefaults] default_realm = ud3a.austin.ibm.com default_keytab_name = FILE:/etc/krb5/krb5.keytab default_tkt_enctypes = des3-cbc-sha1 arcfour-hmac aes256-cts des-cbc-md5 des-cbc-crc defaut_tgs_enctypes = des3-cbc-shal1 arcfour-hmac aes256-cts des-cbc-md5 des-cbc-crc [realms] ud3a.austin.ibm.com = { kdc = alyssa.austin.ibm.com:88 admin_server = alyssa.austin.ibm.com:749 default_domain = austin.ibm.com } [domain_realm] .austin.ibm.com = ud3a.austin.ibm.com alyssa.austin.ibm.com = ud3a.austin.ibm.com [logging] kdc = FILE:/var/krb5/log/krb5 admin_server = FILE:/var/krb5/log/kadmin.log default = FILE:/var/krb5/log/krb5lib.log - Récupère le fichier keytab du principal ldap://serverhostname et le place dans le répertoire '/usr/ldap/etc. Par exemple: /usr/ldap/etc/slapd_krb5.keytab.
- Définissez les droits permettant au processus serveur d'accéder au fichier.
# chown ldap:ldap /usr/ldap/etc/slapd_krb5.keytab # - Pour activer le serveur IDS pour la liaison Kerberos , éditez le fichier /etc/ibmslapd.conf et ajoutez l'entrée suivante:
dn: cn=Kerberos, cn-Configuration cn: Kerberos ibm-slapdKrbAdminDN: ldapadmin ibm-slapdKrbEnable: true ibm-slapdKrbIdentityMap: true ibm-slapdKrbKeyTab: /usr/ldap/etc/slapd_krb5.keytab ibm-slapdKrbRealm: ud3a.austin.ibm.com objectclass: ibm-slapdKerberos objectclass: ibm-slapdconfigEntry objectclass: top - Mappela le principal ldapproxy vers un DN de liaison nommé cn-proxyuser, cn = aixdata.
- Si l'entrée de nom distinctif de liaison existe sur le serveur IDS, créez un fichier nommé ldapproxy.ldif avec le contenu suivant:
dn: cn=proxyuser,cn=aixdata changetype: modify add: objectclass objectclass: ibm-securityidentities - add:altsecurityidentities altsecurityidentities: Kerberos:ldapproxy@ud3a.austin.ibm.comOR - Si l'entrée de nom distinctif de liaison n'est pas encore ajoutée au serveur, créez un fichier nommé proxyuser.ldif avec le contenu suivant:
Remarque: Vous devrez remplacer proxyuserpwd par votre mot de passe.dn: cn=proxyuser,cn=mytest cn: proxyuser sn: proxyuser userpassword: proxyuserpwd objectclass: person objectclass: top objectclass: ibm-securityidentities altsecurityidentities: Kerberos:ldapproxy@ud3a.austin.ibm.comAjoutez l'entrée de nom distinctif de liaison créée sur le serveur IDS à l'aide de la commande ldapmodify .
# ldapmodify -D cn-admin -w adminPwd -f /tmp/proxyuser.ldif modifying entry cn=proxyuser,cn=mytest # - Si l'entrée de nom distinctif de liaison existe sur le serveur IDS, créez un fichier nommé ldapproxy.ldif avec le contenu suivant:
- Redémarrez le serveur IDS.