Didacticiel VSFTPD - authentification Kerberos [ Étape par étape ]

Souhaitez-vous savoir comment configurer l’authentification Kerberos du service VSFTPD sur Active Directory ? Dans ce didacticiel, nous allons vous montrer comment authentifier les utilisateurs VSFTPD à l’aide d’Active Directory à partir de Microsoft Windows et du protocole Kerberos.

• Ubuntu 20.04
• Ubuntu 19.10
• Ubuntu 18.04
• VSFTPD 3.0.3

Dans notre exemple, l’adresse IP du contrôleur de domaine est 192.168.15.10.

Dans notre exemple, l’adresse IP du serveur FTP est 192.168.0.200.

Tutorial Windows - Création de compte de domaine

• IP - 192.168.15.10
• Operacional System - WINDOWS 2012 R2
• Hostname - TECH-DC01

Nous devons créer au moins 1 compte dans la base de données Active Directory.

Le compte ADMIN sera utilisé pour se connecter sur le serveur VSFTPD.

Sur le contrôleur de domaine, ouvrez l’application nommée : Utilisateurs et ordinateurs Active directory.

Créez un nouveau compte à l’intérieur du conteneur Utilisateurs.

Créer un nouveau compte nommé : admin

Mot de passe configuré pour l’utilisateur ADMIN : kamisama123

Ce compte sera utilisé pour s’authentifier sur le serveur VSFTPD.

zabbix active directory admin properties

Répétez ce processus et créez un nouveau compte nommé TEST01.

Félicitations, vous avez créé le compte Active Directory requis.

VSFTPD - authentification Kerberos sur Active Directory

• IP - 192.168.15.11
• Système opérationnel - Ubuntu 20
• Nom d’hôte - VSFTPD

Définissez un nom d’hôte à l’aide de la commande HOSTNAMECTL.

Copy to Clipboard

Modifiez le fichier de configuration HOSTS.

Copy to Clipboard

Ajoutez l’adresse IP et le nom d’hôte du contrôleur de domaine.

Copy to Clipboard

Installez la liste des packages requis pour activer l’authentification Kerberos.

Copy to Clipboard

Sur l’installation graphique, effectuez la configuration suivante :

• Kerberos realm - TECH.LOCAL
• Kerberos server - TECH-DC01.TECH.LOCAL
• Administrative server - TECH-DC01.TECH.LOCAL

Vous devez modifier les informations de domaine pour refléter votre environnement réseau.

Modifiez le fichier de configuration Kerberos.

Copy to Clipboard

Voici le fichier, avant notre configuration.

Copy to Clipboard

[libdefaults]
        default_realm = TECH.LOCAL
        kdc_timesync = 1
        ccache_type = 4
        forwardable = true
        proxiable = true
        fcc-mit-ticketflags = true
[realms]
        TECH.LOCAL = {
                kdc = TECH-DC01.TECH.LOCAL
                admin_server = TECH-DC01.TECH.LOCAL
        }
        ATHENA.MIT.EDU = {
                kdc = kerberos.mit.edu
                kdc = kerberos-1.mit.edu
                kdc = kerberos-2.mit.edu:88
                admin_server = kerberos.mit.edu
                default_domain = mit.edu
        }
        ZONE.MIT.EDU = {
                kdc = casio.mit.edu
                kdc = seiko.mit.edu
                admin_server = casio.mit.edu
        }
        CSAIL.MIT.EDU = {
                admin_server = kerberos.csail.mit.edu
                default_domain = csail.mit.edu
        }
        IHTFP.ORG = {
                kdc = kerberos.ihtfp.org
                admin_server = kerberos.ihtfp.org
        }
        1TS.ORG = {
                kdc = kerberos.1ts.org
                admin_server = kerberos.1ts.org
        }
        ANDREW.CMU.EDU = {
                admin_server = kerberos.andrew.cmu.edu
                default_domain = andrew.cmu.edu
        }
        CS.CMU.EDU = {
                kdc = kerberos-1.srv.cs.cmu.edu
                kdc = kerberos-2.srv.cs.cmu.edu
                kdc = kerberos-3.srv.cs.cmu.edu
                admin_server = kerberos.cs.cmu.edu
        }
        DEMENTIA.ORG = {
                kdc = kerberos.dementix.org
                kdc = kerberos2.dementix.org
                admin_server = kerberos.dementix.org
        }
        stanford.edu = {
                kdc = krb5auth1.stanford.edu
                kdc = krb5auth2.stanford.edu
                kdc = krb5auth3.stanford.edu
                master_kdc = krb5auth1.stanford.edu
                admin_server = krb5-admin.stanford.edu
                default_domain = stanford.edu
        }
        UTORONTO.CA = {
                kdc = kerberos1.utoronto.ca
                kdc = kerberos2.utoronto.ca
                kdc = kerberos3.utoronto.ca
                admin_server = kerberos1.utoronto.ca
                default_domain = utoronto.ca
        }
[domain_realm]
        .mit.edu = ATHENA.MIT.EDU
        mit.edu = ATHENA.MIT.EDU
        .media.mit.edu = MEDIA-LAB.MIT.EDU
        media.mit.edu = MEDIA-LAB.MIT.EDU
        .csail.mit.edu = CSAIL.MIT.EDU
        csail.mit.edu = CSAIL.MIT.EDU
        .whoi.edu = ATHENA.MIT.EDU
        whoi.edu = ATHENA.MIT.EDU
        .stanford.edu = stanford.edu
        .slac.stanford.edu = SLAC.STANFORD.EDU
        .toronto.edu = UTORONTO.CA
        .utoronto.ca = UTORONTO.CA

Voici le fichier, après notre configuration.

Copy to Clipboard

Vous devez modifier les informations de domaine pour refléter votre environnement réseau.

Vous avez terminé la configuration Kerberos requise.

Didacticiel Ubuntu - Installation de VSFTPD

Installez les paquets requis.

Copy to Clipboard

Modifiez le fichier de configuration PAM.

Copy to Clipboard

Voici le contenu du fichier, avant notre configuration.

Copy to Clipboard

Voici le contenu du fichier, après notre configuration.

Copy to Clipboard

Rechercher le fichier de configuration du service VSFTPD

Copy to Clipboard

Modifier le fichier de configuration du service VSFTPD

Copy to Clipboard

Ajoutez les lignes suivantes à la fin de ce fichier.

Copy to Clipboard

Voici le contenu du fichier, avant notre configuration.

Copy to Clipboard

Voici le contenu du fichier, après notre configuration.

Copy to Clipboard

La fonctionnalité CHROOT empêchera les utilisateurs de sortir de leur répertoire HOME.

Pour exclure un utilisateur de la fonctionnalité CHROOT, ajoutez son nom d’utilisateur dans le fichier de liste.

Copy to Clipboard

Voici le contenu du fichier.

Copy to Clipboard

Dans notre exemple, nous avons exclu le compte nommé TEST01.

Redémarrez le service FTP.

Copy to Clipboard

Activez le service VSFTPD pour démarrer automatiquement pendant le démarrage.

Copy to Clipboard

Gardez à l’esprit que nous n’effectuons que l’authentification à l’aide du protocole Kerberos.

Le compte d’utilisateur doit exister localement.

Utilisez la commande suivante pour créer un compte d’utilisateur localement sur le serveur FTP.

Copy to Clipboard

félicitations! Vous avez terminé l’authentification du serveur VSFTP à l’aide de Kerberos.

Didacticiel Ubuntu - Test de l’installation VSFTPD

Créez 2 comptes locaux.

Copy to Clipboard

Dans notre exemple, le compte d’utilisateur nommé TEST01 a été exclu de la fonctionnalité CHROOT.

Nous avons exclu ce compte en ajoutant le nom d’utilisateur au fichier de liste CHROOT.

Copy to Clipboard

Sur un ordinateur distant, téléchargez le logiciel WINSCP et essayez de vous connecter au serveur FTP.

Utilisez le mot de passe Active Directory pour authentifier les utilisateurs FTP.

Le compte nommé TEST01 pourra accéder aux répertoires en dehors de son répertoire HOME.

Le compte nommé ADMIN ne pourra pas accéder aux répertoires en dehors de son répertoire HOME.

félicitations! Vous avez testé avec succès l’installation VSFTPD sur Ubuntu Linux.

VSFTPD - authentification Kerberos

VSFTPD - authentification Kerberos

Tutorial Windows - Création de compte de domaine

VSFTPD - authentification Kerberos sur Active Directory

Didacticiel Ubuntu - Installation de VSFTPD

Didacticiel Ubuntu - Test de l’installation VSFTPD

Related Posts

VSFTPD - Installation sécurisée du serveur FTP sur Ubuntu Linux

VSFTPD - Installation sur Ubuntu Linux