Tutorial VSFTPD - Kerberos godkendelse [ Trin for trin ]

Vil du have mere at vide om, hvordan du konfigurerer VSFTPD-tjenesten Kerberos-godkendelse i Active Directory? I dette selvstudium skal vi vise dig, hvordan du godkender VSFTPD-brugere ved hjælp af Active Directory fra Microsoft Windows og Kerberos-protokollen.

• Ubuntu 20.04
• Ubuntu 19.10
• Ubuntu 18.04
• VSFTPD 3.0.3

I vores eksempel er domænecontrollerens IP-adresse 192.168.15.10.

I vores eksempel er FTP-serverens IP-adresse 192.168.0.200.

Selvstudium Windows – Oprettelse af domænekonto

• IP – 192.168.15.10
• Operacional System – WINDOWS 2012 R2
• Hostname – TECH-DC01

Vi skal oprette mindst én konto i Active Directory-databasen.

ADMIN-kontoen bruges til at logge på VSFTPD-serveren.

Åbn programmet med navnet: Active Directory-brugere og -computere på domænecontrolleren

Opret en ny konto i objektbeholderen Brugere.

Oprette en ny konto med navnet: administrator

Adgangskode konfigureret til ADMIN-brugeren: kamisama123

Denne konto bruges til at godkende på VSFTPD-serveren.

zabbix active directory admin properties

Gentag denne proces, og opret en ny konto med navnet TEST01.

Tillykke, du har oprettet den nødvendige Active Directory-konto.

VSFTPD – Kerberos-godkendelse i Active Directory

• IP – 192.168.15.11
• Operationelt system – Ubuntu 20
• Hostname – VSFTPD

Angiv et værtsnavn ved hjælp af kommandoen HOSTNAMECTL.

Copy to Clipboard

Rediger HOSTS-konfigurationsfilen.

Copy to Clipboard

Tilføj domænecontrollerens IP-adresse og værtsnavn.

Copy to Clipboard

Installer listen over nødvendige pakker for at aktivere Kerberos-godkendelsen.

Copy to Clipboard

Udfør følgende konfiguration i installationen Grafik:

• Kerberos realm – TECH.LOCAL
• Kerberos server – TECH-DC01. Tech. Lokale
• Administrative server – TECH-DC01.TECH.LOCAL

Du skal ændre domæneoplysningerne, så de afspejler netværksmiljøet.

Rediger Kerberos-konfigurationsfilen.

Copy to Clipboard

Her er filen, før vores konfiguration.

Copy to Clipboard

[libdefaults]
        default_realm = TECH.LOCAL
        kdc_timesync = 1
        ccache_type = 4
        forwardable = true
        proxiable = true
        fcc-mit-ticketflags = true
[realms]
        TECH.LOCAL = {
                kdc = TECH-DC01.TECH.LOCAL
                admin_server = TECH-DC01.TECH.LOCAL
        }
        ATHENA.MIT.EDU = {
                kdc = kerberos.mit.edu
                kdc = kerberos-1.mit.edu
                kdc = kerberos-2.mit.edu:88
                admin_server = kerberos.mit.edu
                default_domain = mit.edu
        }
        ZONE.MIT.EDU = {
                kdc = casio.mit.edu
                kdc = seiko.mit.edu
                admin_server = casio.mit.edu
        }
        CSAIL.MIT.EDU = {
                admin_server = kerberos.csail.mit.edu
                default_domain = csail.mit.edu
        }
        IHTFP.ORG = {
                kdc = kerberos.ihtfp.org
                admin_server = kerberos.ihtfp.org
        }
        1TS.ORG = {
                kdc = kerberos.1ts.org
                admin_server = kerberos.1ts.org
        }
        ANDREW.CMU.EDU = {
                admin_server = kerberos.andrew.cmu.edu
                default_domain = andrew.cmu.edu
        }
        CS.CMU.EDU = {
                kdc = kerberos-1.srv.cs.cmu.edu
                kdc = kerberos-2.srv.cs.cmu.edu
                kdc = kerberos-3.srv.cs.cmu.edu
                admin_server = kerberos.cs.cmu.edu
        }
        DEMENTIA.ORG = {
                kdc = kerberos.dementix.org
                kdc = kerberos2.dementix.org
                admin_server = kerberos.dementix.org
        }
        stanford.edu = {
                kdc = krb5auth1.stanford.edu
                kdc = krb5auth2.stanford.edu
                kdc = krb5auth3.stanford.edu
                master_kdc = krb5auth1.stanford.edu
                admin_server = krb5-admin.stanford.edu
                default_domain = stanford.edu
        }
        UTORONTO.CA = {
                kdc = kerberos1.utoronto.ca
                kdc = kerberos2.utoronto.ca
                kdc = kerberos3.utoronto.ca
                admin_server = kerberos1.utoronto.ca
                default_domain = utoronto.ca
        }
[domain_realm]
        .mit.edu = ATHENA.MIT.EDU
        mit.edu = ATHENA.MIT.EDU
        .media.mit.edu = MEDIA-LAB.MIT.EDU
        media.mit.edu = MEDIA-LAB.MIT.EDU
        .csail.mit.edu = CSAIL.MIT.EDU
        csail.mit.edu = CSAIL.MIT.EDU
        .whoi.edu = ATHENA.MIT.EDU
        whoi.edu = ATHENA.MIT.EDU
        .stanford.edu = stanford.edu
        .slac.stanford.edu = SLAC.STANFORD.EDU
        .toronto.edu = UTORONTO.CA
        .utoronto.ca = UTORONTO.CA

Her er filen, efter vores konfiguration.

Copy to Clipboard

Du skal ændre domæneoplysningerne, så de afspejler netværksmiljøet.

Du er færdig med den nødvendige Kerberos-konfiguration.

Selvstudium Ubuntu – Installation af VSFTPD

Installer de nødvendige pakker.

Copy to Clipboard

Rediger PAM-konfigurationsfilen.

Copy to Clipboard

Her er filens indhold, før vores konfiguration.

Copy to Clipboard

Her er filens indhold, efter vores konfiguration.

Copy to Clipboard

Søg efter konfigurationsfilen til tjenesten VSFTPD

Copy to Clipboard

Redigere konfigurationsfilen til tjenesten VSFTPD

Copy to Clipboard

Tilføj følgende linjer i slutningen af denne fil.

Copy to Clipboard

Her er filens indhold, før vores konfiguration.

Copy to Clipboard

Her er filens indhold, efter vores konfiguration.

Copy to Clipboard

CHROOT-funktionen vil forhindre brugerne i at komme ud af deres HOME-mappe.

Hvis du vil udelukke en bruger fra CHROOT-funktionen, skal du føje dens brugernavn til listefilen.

Copy to Clipboard

Her er filindholdet.

Copy to Clipboard

I vores eksempel ekskluderede vi kontoen TEST01.

Genstart FTP-tjenesten.

Copy to Clipboard

Aktivér VSFTPD-tjenesten for at starte automatisk under start.

Copy to Clipboard

Husk, at vi kun udfører godkendelsen ved hjælp af Kerberos-protokollen.

Brugerkontoen skal findes lokalt.

Brug følgende kommando til at oprette en brugerkonto lokalt på FTP-serveren.

Copy to Clipboard

Tillykke! Du er færdig med VSFTP-servergodkendelsen ved hjælp af Kerberos.

Selvstudium Ubuntu – Test af VSFTPD-installationen

Opret to lokale konti.

Copy to Clipboard

I vores eksempel blev brugerkontoen test01 udelukket fra CHROOT-funktionen.

Vi udelukkede denne konto ved at føje brugernavnet til CHROOT-listefilen.

Copy to Clipboard

På en fjerncomputer skal du hente WINSCP-softwaren og forsøge at oprette forbindelse til FTP-serveren.

Brug active directory-adgangskoden til at godkende FTP-brugerne.

Kontoen med navnet TEST01 kan få adgang til mapper uden for home-mappen.

Den konto, der hedder ADMIN, kan ikke få adgang til mapper uden for home-mappen.

Tillykke! Du har testet VSFTPD-installationen på Ubuntu Linux.

VSFTPD – Kerberos-godkendelse

VSFTPD – Kerberos-godkendelse

Selvstudium Windows – Oprettelse af domænekonto

VSFTPD – Kerberos-godkendelse i Active Directory

Selvstudium Ubuntu – Installation af VSFTPD

Selvstudium Ubuntu – Test af VSFTPD-installationen

Related Posts

VSFTPD – Sikker FTP-serverinstallation på Ubuntu Linux

VSFTPD – Installation på Ubuntu Linux