Tutorial VSFTPD - Autenticación Kerberos [ Paso a paso ]

¿Desea aprender a configurar la autenticación Kerberos del servicio VSFTPD en Active Directory? En este tutorial, vamos a mostrarle cómo autenticar a los usuarios de VSFTPD mediante Active Directory de Microsoft Windows y el protocolo Kerberos.

• Ubuntu 20.04
• Ubuntu 19.10
• Ubuntu 18.04
• VSFTPD 3.0.3

En nuestro ejemplo, la dirección IP del controlador de dominio es 192.168.15.10.

En nuestro ejemplo, la dirección IP del servidor FTP es 192.168.0.200.

Tutorial Windows – Creación de cuentas de dominio

• IP – 192.168.15.10
• Sistema Operacional – WINDOWS 2012 R2
• Nombre de host – TECH-DC01

Necesitamos crear al menos 1 cuenta en la base de datos de Active Directory.

La cuenta ADMIN se utilizará para iniciar sesión en el servidor VSFTPD.

En el controlador de dominio, abra la aplicación denominada: Usuarios y equipos de Active Directory

Cree una nueva cuenta dentro del contenedor Usuarios.

Crear una nueva cuenta denominada: admin

Contraseña configurada al usuario ADMIN: kamisama123

Esta cuenta se utilizará para autenticarse en el servidor VSFTPD.

zabbix active directory admin properties

Repita este proceso y cree una nueva cuenta denominada TEST01.

Enhorabuena, ha creado la cuenta de Active Directory necesaria.

VSFTPD – Autenticación Kerberos en Active Directory

• IP – 192.168.15.11
• Sistema operativo – Ubuntu 20
• Nombre de host – VSFTPD

Establezca un nombre de host mediante el comando HOSTNAMECTL.

Copy to Clipboard

Edite el archivo de configuración de HOSTS.

Copy to Clipboard

Agregue la dirección IP y el nombre de host del controlador de dominio.

Copy to Clipboard

Instale la lista de paquetes necesarios para habilitar la autenticación Kerberos.

Copy to Clipboard

En la instalación de gráficos, realice la siguiente configuración:

• Kerberos realm – TECH.LOCAL
• Kerberos server – TECH-DC01.TECH.LOCAL
• Administrative server – TECH-DC01.TECH.LOCAL

Debe cambiar la información del dominio para reflejar el entorno de red.

Edite el archivo de configuración Kerberos.

Copy to Clipboard

Aquí está el archivo, antes de nuestra configuración.

Copy to Clipboard

[libdefaults]
        default_realm = TECH.LOCAL
        kdc_timesync = 1
        ccache_type = 4
        forwardable = true
        proxiable = true
        fcc-mit-ticketflags = true
[realms]
        TECH.LOCAL = {
                kdc = TECH-DC01.TECH.LOCAL
                admin_server = TECH-DC01.TECH.LOCAL
        }
        ATHENA.MIT.EDU = {
                kdc = kerberos.mit.edu
                kdc = kerberos-1.mit.edu
                kdc = kerberos-2.mit.edu:88
                admin_server = kerberos.mit.edu
                default_domain = mit.edu
        }
        ZONE.MIT.EDU = {
                kdc = casio.mit.edu
                kdc = seiko.mit.edu
                admin_server = casio.mit.edu
        }
        CSAIL.MIT.EDU = {
                admin_server = kerberos.csail.mit.edu
                default_domain = csail.mit.edu
        }
        IHTFP.ORG = {
                kdc = kerberos.ihtfp.org
                admin_server = kerberos.ihtfp.org
        }
        1TS.ORG = {
                kdc = kerberos.1ts.org
                admin_server = kerberos.1ts.org
        }
        ANDREW.CMU.EDU = {
                admin_server = kerberos.andrew.cmu.edu
                default_domain = andrew.cmu.edu
        }
        CS.CMU.EDU = {
                kdc = kerberos-1.srv.cs.cmu.edu
                kdc = kerberos-2.srv.cs.cmu.edu
                kdc = kerberos-3.srv.cs.cmu.edu
                admin_server = kerberos.cs.cmu.edu
        }
        DEMENTIA.ORG = {
                kdc = kerberos.dementix.org
                kdc = kerberos2.dementix.org
                admin_server = kerberos.dementix.org
        }
        stanford.edu = {
                kdc = krb5auth1.stanford.edu
                kdc = krb5auth2.stanford.edu
                kdc = krb5auth3.stanford.edu
                master_kdc = krb5auth1.stanford.edu
                admin_server = krb5-admin.stanford.edu
                default_domain = stanford.edu
        }
        UTORONTO.CA = {
                kdc = kerberos1.utoronto.ca
                kdc = kerberos2.utoronto.ca
                kdc = kerberos3.utoronto.ca
                admin_server = kerberos1.utoronto.ca
                default_domain = utoronto.ca
        }
[domain_realm]
        .mit.edu = ATHENA.MIT.EDU
        mit.edu = ATHENA.MIT.EDU
        .media.mit.edu = MEDIA-LAB.MIT.EDU
        media.mit.edu = MEDIA-LAB.MIT.EDU
        .csail.mit.edu = CSAIL.MIT.EDU
        csail.mit.edu = CSAIL.MIT.EDU
        .whoi.edu = ATHENA.MIT.EDU
        whoi.edu = ATHENA.MIT.EDU
        .stanford.edu = stanford.edu
        .slac.stanford.edu = SLAC.STANFORD.EDU
        .toronto.edu = UTORONTO.CA
        .utoronto.ca = UTORONTO.CA

Aquí está el archivo, después de nuestra configuración.

Copy to Clipboard

Debe cambiar la información del dominio para reflejar el entorno de red.

Ha terminado la configuración de Kerberos necesaria.

Tutorial Ubuntu – Instalación de VSFTPD

Instale los paquetes necesarios.

Copy to Clipboard

Edite el archivo de configuración de PAM.

Copy to Clipboard

Aquí está el contenido del archivo, antes de nuestra configuración.

Copy to Clipboard

Aquí está el contenido del archivo, después de nuestra configuración.

Copy to Clipboard

Busque el archivo de configuración del servicio VSFTPD

Copy to Clipboard

Edite el archivo de configuración del servicio VSFTPD

Copy to Clipboard

Agregue las siguientes líneas al final de este archivo.

Copy to Clipboard

Aquí está el contenido del archivo, antes de nuestra configuración.

Copy to Clipboard

Aquí está el contenido del archivo, después de nuestra configuración.

Copy to Clipboard

La función CHROOT evitará que los usuarios salgan de su directorio HOME.

Para excluir a un usuario de la función CHROOT, agregue su nombre de usuario al archivo de lista.

Copy to Clipboard

Aquí está el contenido del archivo.

Copy to Clipboard

En nuestro ejemplo, excluimos la cuenta denominada TEST01.

Reinicie el servicio FTP.

Copy to Clipboard

Habilite el servicio VSFTPD para que se inicie automáticamente durante el arranque.

Copy to Clipboard

Tenga en cuenta que solo estamos realizando la autenticación mediante el protocolo Kerberos.

La cuenta de usuario debe existir localmente.

Utilice el siguiente comando para crear una cuenta de usuario localmente en el servidor FTP.

Copy to Clipboard

¡Felicitaciones! Ha terminado la autenticación del servidor VSFTP mediante Kerberos.

Tutorial Ubuntu – Prueba de la instalación de VSFTPD

Cree 2 cuentas locales.

Copy to Clipboard

En nuestro ejemplo, la cuenta de usuario denominada TEST01 se excluyó de la característica CHROOT.

Excluimos esta cuenta agregando el nombre de usuario al archivo de lista CHROOT.

Copy to Clipboard

En un equipo remoto, descargue el software WINSCP e intente conectarse al servidor FTP.

Utilice la contraseña de Active Directory para autenticar a los usuarios FTP.

La cuenta denominada TEST01 podrá acceder a directorios fuera de su directorio HOME.

La cuenta denominada ADMIN no podrá acceder a los directorios fuera de su directorio HOME.

¡Felicitaciones! Ha probado correctamente la instalación de VSFTPD en Ubuntu Linux.

VSFTPD – Autenticación Kerberos

VSFTPD – Autenticación Kerberos

Tutorial Windows – Creación de cuentas de dominio

VSFTPD – Autenticación Kerberos en Active Directory

Tutorial Ubuntu – Instalación de VSFTPD

Tutorial Ubuntu – Prueba de la instalación de VSFTPD

Related Posts

VSFTPD – Instalación segura del servidor FTP en Ubuntu Linux

VSFTPD – Instalación en Ubuntu Linux