Esercitazione VSFTPD - Autenticazione Kerberos [ Step by Step ]

Si desidera informazioni su come configurare l’autenticazione Kerberos del servizio VSFTPD in Active Directory? In questa esercitazione verrà illustrato come autenticare gli utenti VSFTPD utilizzando Active Directory da Microsoft Windows e il protocollo Kerberos.

• Ubuntu 20.04
• Ubuntu 19.10
• Ubuntu 18.04
• VSFTPD 3.0.3

In questo esempio, l’indirizzo IP del controller di dominio è 192.168.15.10.

Nel nostro esempio, l’indirizzo IP del server FTP è 192.168.0.200.

Tutorial Windows – Domain Account Creation

• IP – 192.168.15.10
• Operacional System – WINDOWS 2012 R2
• Hostname – TECH-DC01

È necessario creare almeno 1 account nel database di Active Directory.

L’account ADMIN verrà utilizzato per accedere al server VSFTPD.

Nel controller di dominio aprire l’applicazione denominata: Utenti e computer di Active Directory

Creare un nuovo account all’interno del contenitore Users.

Creare un nuovo account denominato: admin

Password configurata per l’utente ADMIN: kamisama123

Questo account verrà utilizzato per l’autenticazione nel server VSFTPD.

zabbix active directory admin properties

Ripetere questo processo e creare un nuovo account denominato TEST01.

Congratulazioni, è stato creato l’account di Active Directory richiesto.

VSFTPD – Autenticazione Kerberos in Active Directory

• IP – 192.168.15.11
• Operational System – Ubuntu 20
Nome host – VSFTPD

Impostare un nome host utilizzando il comando HOSTNAMECTL.

Copy to Clipboard

Modificare il file di configurazione HOSTS.

Copy to Clipboard

Aggiungere l’indirizzo IP e il nome host del controller di dominio.

Copy to Clipboard

Installare l’elenco dei pacchetti necessari per abilitare l’autenticazione Kerberos.

Copy to Clipboard

Nell’installazione grafica, eseguire la seguente configurazione:

• Kerberos realm – TECH.LOCAL
• Kerberos server – TECH-DC01.TECH.LOCAL
• Administrative server – TECH-DC01.TECH.LOCAL

È necessario modificare le informazioni di dominio per riflettere l’ambiente di rete.

Modificare il file di configurazione Kerberos.

Copy to Clipboard

Ecco il file, prima della nostra configurazione.

Copy to Clipboard

[libdefaults]
        default_realm = TECH.LOCAL
        kdc_timesync = 1
        ccache_type = 4
        forwardable = true
        proxiable = true
        fcc-mit-ticketflags = true
[realms]
        TECH.LOCAL = {
                kdc = TECH-DC01.TECH.LOCAL
                admin_server = TECH-DC01.TECH.LOCAL
        }
        ATHENA.MIT.EDU = {
                kdc = kerberos.mit.edu
                kdc = kerberos-1.mit.edu
                kdc = kerberos-2.mit.edu:88
                admin_server = kerberos.mit.edu
                default_domain = mit.edu
        }
        ZONE.MIT.EDU = {
                kdc = casio.mit.edu
                kdc = seiko.mit.edu
                admin_server = casio.mit.edu
        }
        CSAIL.MIT.EDU = {
                admin_server = kerberos.csail.mit.edu
                default_domain = csail.mit.edu
        }
        IHTFP.ORG = {
                kdc = kerberos.ihtfp.org
                admin_server = kerberos.ihtfp.org
        }
        1TS.ORG = {
                kdc = kerberos.1ts.org
                admin_server = kerberos.1ts.org
        }
        ANDREW.CMU.EDU = {
                admin_server = kerberos.andrew.cmu.edu
                default_domain = andrew.cmu.edu
        }
        CS.CMU.EDU = {
                kdc = kerberos-1.srv.cs.cmu.edu
                kdc = kerberos-2.srv.cs.cmu.edu
                kdc = kerberos-3.srv.cs.cmu.edu
                admin_server = kerberos.cs.cmu.edu
        }
        DEMENTIA.ORG = {
                kdc = kerberos.dementix.org
                kdc = kerberos2.dementix.org
                admin_server = kerberos.dementix.org
        }
        stanford.edu = {
                kdc = krb5auth1.stanford.edu
                kdc = krb5auth2.stanford.edu
                kdc = krb5auth3.stanford.edu
                master_kdc = krb5auth1.stanford.edu
                admin_server = krb5-admin.stanford.edu
                default_domain = stanford.edu
        }
        UTORONTO.CA = {
                kdc = kerberos1.utoronto.ca
                kdc = kerberos2.utoronto.ca
                kdc = kerberos3.utoronto.ca
                admin_server = kerberos1.utoronto.ca
                default_domain = utoronto.ca
        }
[domain_realm]
        .mit.edu = ATHENA.MIT.EDU
        mit.edu = ATHENA.MIT.EDU
        .media.mit.edu = MEDIA-LAB.MIT.EDU
        media.mit.edu = MEDIA-LAB.MIT.EDU
        .csail.mit.edu = CSAIL.MIT.EDU
        csail.mit.edu = CSAIL.MIT.EDU
        .whoi.edu = ATHENA.MIT.EDU
        whoi.edu = ATHENA.MIT.EDU
        .stanford.edu = stanford.edu
        .slac.stanford.edu = SLAC.STANFORD.EDU
        .toronto.edu = UTORONTO.CA
        .utoronto.ca = UTORONTO.CA

Ecco il file, dopo la nostra configurazione.

Copy to Clipboard

È necessario modificare le informazioni di dominio per riflettere l’ambiente di rete.

La configurazione Kerberos richiesta è stata completata.

Esercitazione Ubuntu – Installazione di VSFTPD

Installare i pacchetti necessari.

Copy to Clipboard

Modificare il file di configurazione PAM.

Copy to Clipboard

Ecco il contenuto del file, prima della nostra configurazione.

Copy to Clipboard

Ecco il contenuto del file, dopo la nostra configurazione.

Copy to Clipboard

Cercare il file di configurazione del servizio VSFTPD

Copy to Clipboard

Modificare il file di configurazione del servizio VSFTPD

Copy to Clipboard

Aggiungere le seguenti righe alla fine di questo file.

Copy to Clipboard

Ecco il contenuto del file, prima della nostra configurazione.

Copy to Clipboard

Ecco il contenuto del file, dopo la nostra configurazione.

Copy to Clipboard

La funzione CHROOT impedirà agli utenti di uscire dalla propria directory HOME.

Per escludere un utente dalla funzione CHROOT, aggiungere il relativo nome utente nel file di elenco.

Copy to Clipboard

Ecco il contenuto del file.

Copy to Clipboard

Nel nostro esempio, abbiamo escluso l’account denominato TEST01.

Riavviare il servizio FTP.

Copy to Clipboard

Abilitare l’avvio automatico del servizio VSFTPD durante l’avvio.

Copy to Clipboard

Tenere presente che stiamo eseguendo solo l’autenticazione utilizzando il protocollo Kerberos.

L’account utente deve esistere localmente.

Utilizzare il comando seguente per creare un account utente localmente sul server FTP.

Copy to Clipboard

Congratulazioni! L’autenticazione del server VSFTP è stata completata tramite Kerberos.

Esercitazione Ubuntu – Test dell’installazione di VSFTPD

Creare 2 account locali.

Copy to Clipboard

In questo esempio, l’account utente denominato TEST01 è stato escluso dalla funzionalità CHROOT.

Questo account è stato escluso aggiungendo il nome utente al file dell’elenco CHROOT.

Copy to Clipboard

In un computer remoto, scaricare il software WINSCP e provare a connettersi al server FTP.

Utilizzare la password di Active Directory per autenticare gli utenti FTP.

L’account denominato TEST01 sarà in grado di accedere alle directory all’esterno della directory HOME.

L’account denominato ADMIN non sarà in grado di accedere alle directory all’esterno della directory HOME.

Congratulazioni! L’installazione di VSFTPD è stata testata correttamente su Ubuntu Linux.

VSFTPD – Autenticazione Kerberos

VSFTPD – Autenticazione Kerberos

Tutorial Windows – Domain Account Creation

VSFTPD – Autenticazione Kerberos in Active Directory

Esercitazione Ubuntu – Installazione di VSFTPD

Esercitazione Ubuntu – Test dell’installazione di VSFTPD

Related Posts

VSFTPD – Installazione sicura del server FTP su Ubuntu Linux

VSFTPD – Installazione su Ubuntu Linux