Tutorial VSFTPD - Kerberos-Authentifizierung [ Schritt für Schritt ]

Möchten Sie erfahren, wie Sie den VSFTPD-Dienst Kerberos-Authentifizierung in Active Directory konfigurieren? In diesem Tutorial zeigen wir Ihnen, wie Sie VSFTPD-Benutzer mithilfe des Active Directory von Microsoft Windows und des Kerberos-Protokolls authentifizieren.

• Ubuntu 20.04
• Ubuntu 19.10
• Ubuntu 18.04
• VSFTPD 3.0.3

In unserem Beispiel lautet die Domänencontroller-IP-Adresse 192.168.15.10.

In unserem Beispiel lautet die IP-Adresse des FTP-Servers 192.168.0.200.

Tutorial Windows – Domänenkontoerstellung

• IP – 192.168.15.10
• Operacional System – WINDOWS 2012 R2
• Hostname – TECH-DC01

Wir müssen mindestens 1 Konto in der Active Directory-Datenbank erstellen.

Das ADMIN-Konto wird verwendet, um sich auf dem VSFTPD-Server anzumelden.

Öffnen Sie auf dem Domänencontroller die Anwendung mit dem Namen: Active Directory-Benutzer und -Computer

Erstellen Sie ein neues Konto im Container Benutzer.

Erstellen Eines neuen Kontos mit dem Namen: admin

Für den ADMIN-Benutzer konfiguriertes Kennwort: kamisama123

Dieses Konto wird zur Authentifizierung auf dem VSFTPD-Server verwendet.

zabbix active directory admin properties

Wiederholen Sie diesen Vorgang, und erstellen Sie ein neues Konto mit dem Namen TEST01.

Herzlichen Glückwunsch, Sie haben das erforderliche Active Directory-Konto erstellt.

VSFTPD – Kerberos-Authentifizierung im Active Directory

• IP – 192.168.15.11
• Betriebssystem – Ubuntu 20
• Hostname – VSFTPD

Legen Sie einen Hostnamen mit dem Befehl HOSTNAMECTL fest.

Copy to Clipboard

Bearbeiten Sie die HOSTS-Konfigurationsdatei.

Copy to Clipboard

Fügen Sie die Domänencontroller-IP-Adresse und den Hostnamen hinzu.

Copy to Clipboard

Installieren Sie die Liste der erforderlichen Pakete, um die Kerberos-Authentifizierung zu aktivieren.

Copy to Clipboard

Führen Sie bei der Grafischen Installation die folgende Konfiguration aus:

• Kerberos realm – TECH.LOCAL
• Kerberos server – TECH-DC01.TECH.LOCAL
• Administrative server – TECH-DC01.TECH.LOCAL

Sie müssen die Domäneninformationen ändern, um Ihre Netzwerkumgebung widerzuspiegeln.

Bearbeiten Sie die Kerberos-Konfigurationsdatei.

Copy to Clipboard

Hier ist die Datei, vor unserer Konfiguration.

Copy to Clipboard

[libdefaults]
        default_realm = TECH.LOCAL
        kdc_timesync = 1
        ccache_type = 4
        forwardable = true
        proxiable = true
        fcc-mit-ticketflags = true
[realms]
        TECH.LOCAL = {
                kdc = TECH-DC01.TECH.LOCAL
                admin_server = TECH-DC01.TECH.LOCAL
        }
        ATHENA.MIT.EDU = {
                kdc = kerberos.mit.edu
                kdc = kerberos-1.mit.edu
                kdc = kerberos-2.mit.edu:88
                admin_server = kerberos.mit.edu
                default_domain = mit.edu
        }
        ZONE.MIT.EDU = {
                kdc = casio.mit.edu
                kdc = seiko.mit.edu
                admin_server = casio.mit.edu
        }
        CSAIL.MIT.EDU = {
                admin_server = kerberos.csail.mit.edu
                default_domain = csail.mit.edu
        }
        IHTFP.ORG = {
                kdc = kerberos.ihtfp.org
                admin_server = kerberos.ihtfp.org
        }
        1TS.ORG = {
                kdc = kerberos.1ts.org
                admin_server = kerberos.1ts.org
        }
        ANDREW.CMU.EDU = {
                admin_server = kerberos.andrew.cmu.edu
                default_domain = andrew.cmu.edu
        }
        CS.CMU.EDU = {
                kdc = kerberos-1.srv.cs.cmu.edu
                kdc = kerberos-2.srv.cs.cmu.edu
                kdc = kerberos-3.srv.cs.cmu.edu
                admin_server = kerberos.cs.cmu.edu
        }
        DEMENTIA.ORG = {
                kdc = kerberos.dementix.org
                kdc = kerberos2.dementix.org
                admin_server = kerberos.dementix.org
        }
        stanford.edu = {
                kdc = krb5auth1.stanford.edu
                kdc = krb5auth2.stanford.edu
                kdc = krb5auth3.stanford.edu
                master_kdc = krb5auth1.stanford.edu
                admin_server = krb5-admin.stanford.edu
                default_domain = stanford.edu
        }
        UTORONTO.CA = {
                kdc = kerberos1.utoronto.ca
                kdc = kerberos2.utoronto.ca
                kdc = kerberos3.utoronto.ca
                admin_server = kerberos1.utoronto.ca
                default_domain = utoronto.ca
        }
[domain_realm]
        .mit.edu = ATHENA.MIT.EDU
        mit.edu = ATHENA.MIT.EDU
        .media.mit.edu = MEDIA-LAB.MIT.EDU
        media.mit.edu = MEDIA-LAB.MIT.EDU
        .csail.mit.edu = CSAIL.MIT.EDU
        csail.mit.edu = CSAIL.MIT.EDU
        .whoi.edu = ATHENA.MIT.EDU
        whoi.edu = ATHENA.MIT.EDU
        .stanford.edu = stanford.edu
        .slac.stanford.edu = SLAC.STANFORD.EDU
        .toronto.edu = UTORONTO.CA
        .utoronto.ca = UTORONTO.CA

Hier ist die Datei, nach unserer Konfiguration.

Copy to Clipboard

Sie müssen die Domäneninformationen ändern, um Ihre Netzwerkumgebung widerzuspiegeln.

Sie haben die erforderliche Kerberos-Konfiguration abgeschlossen.

Tutorial Ubuntu – VsFTPD installieren

Installieren Sie die erforderlichen Pakete.

Copy to Clipboard

Bearbeiten Sie die PAM-Konfigurationsdatei.

Copy to Clipboard

Hier ist der Dateiinhalt, vor unserer Konfiguration.

Copy to Clipboard

Hier ist der Dateiinhalt, nach unserer Konfiguration.

Copy to Clipboard

Suchen nach der VSFTPD-Dienstkonfigurationsdatei

Copy to Clipboard

Bearbeiten der VSFTPD-Dienstkonfigurationsdatei

Copy to Clipboard

Fügen Sie die folgenden Zeilen am Ende dieser Datei hinzu.

Copy to Clipboard

Hier ist der Dateiinhalt, vor unserer Konfiguration.

Copy to Clipboard

Hier ist der Dateiinhalt, nach unserer Konfiguration.

Copy to Clipboard

Die CHROOT-Funktion verhindert, dass Benutzer aus ihrem HOME-Verzeichnis aussteigen.

Um einen Benutzer von der CHROOT-Funktion auszuschließen, fügen Sie seinen Benutzernamen in die Listendatei ein.

Copy to Clipboard

Hier ist der Dateiinhalt.

Copy to Clipboard

In unserem Beispiel haben wir das Konto mit dem Namen TEST01 ausgeschlossen.

Starten Sie den FTP-Dienst neu.

Copy to Clipboard

Aktivieren Sie den VsFTPD-Dienst, um während des Startvorgangs automatisch zu starten.

Copy to Clipboard

Beachten Sie, dass wir nur die Authentifizierung mit dem Kerberos-Protokoll durchführen.

Das Benutzerkonto muss lokal vorhanden sein.

Verwenden Sie den folgenden Befehl, um ein Benutzerkonto lokal auf dem FTP-Server zu erstellen.

Copy to Clipboard

Herzlichen glückwunsch! Sie haben die VSFTP-Serverauthentifizierung mit Kerberos abgeschlossen.

Tutorial Ubuntu – Testen der VSFTPD-Installation

Erstellen Sie 2 lokale Konten.

Copy to Clipboard

In unserem Beispiel wurde das Benutzerkonto mit dem Namen TEST01 aus der CHROOT-Funktion ausgeschlossen.

Wir haben dieses Konto ausgeschlossen, indem wir den Benutzernamen zur CHROOT-Listendatei hinzugefügt haben.

Copy to Clipboard

Laden Sie auf einem Remotecomputer die WINSCP-Software herunter, und versuchen Sie, eine Verbindung mit dem FTP-Server herzustellen.

Verwenden Sie das Active Directory-Kennwort, um die FTP-Benutzer zu authentifizieren.

Das Konto mit dem Namen TEST01 kann außerhalb des HOME-Verzeichnisses auf Verzeichnisse zugreifen.

Das Konto mit dem Namen ADMIN kann nicht auf Verzeichnisse außerhalb des HOME-Verzeichnisses zugreifen.

Herzlichen glückwunsch! Sie haben die VSFTPD-Installation auf Ubuntu Linux erfolgreich getestet.

VSFTPD – Kerberos-Authentifizierung

VSFTPD – Kerberos-Authentifizierung

Tutorial Windows – Domänenkontoerstellung

VSFTPD – Kerberos-Authentifizierung im Active Directory

Tutorial Ubuntu – VsFTPD installieren

Tutorial Ubuntu – Testen der VSFTPD-Installation

Related Posts

VSFTPD – Sichere FTP-Serverinstallation auf Ubuntu Linux

VSFTPD – Installation auf Ubuntu Linux