チュートリアル VSFTPD - Kerberos 認証 [ ステップバイステップ ]

アクティブディレクトリで VSFTPD サービス Kerberos 認証を構成する方法を学習しますか? このチュートリアルでは、マイクロソフトの Windows および Kerberos プロトコルからアクティブディレクトリを使用して VSFTPD ユーザーを認証する方法を示します。

•Ubuntu 20.04
• Ubuntu 19.10
• Ubuntu 18.04
• VSFTPD 3.0.3

この例では、ドメインコントローラの IP アドレスは 192.168.15.10 です。

この例では、FTP サーバーの IP アドレスは 192.168.0.200 です。

チュートリアルウィンドウ – ドメインアカウントの作成

• IP – 192.168.15.10
• Operacional System – WINDOWS 2012 R2
• Hostname – TECH-DC01

Active Directory データベースに少なくとも 1 つのアカウントを作成する必要があります。

ADMIN アカウントは VSFTPD サーバーでログインするために使用されます。

ドメインコントローラーで、次の名前のアプリケーションを開きます: Active Directory ユーザーとコンピューター

Users コンテナ内に新しいアカウントを作成します。

admin という名前の新しいアカウントを作成します。

ADMINユーザに設定されたパスワード: kamisama123

このアカウントは VSFTPD サーバーでの認証に使用されます。

zabbix active directory admin properties

このプロセスを繰り返し、TEST01 という名前の新しいアカウントを作成します。

これで、必要なアクティブディレクトリアカウントが作成されました。

VSFTPD – アクティブディレクトリでの Kerberos 認証

• IP – 192.168.15.11
• Operational System – Ubuntu 20
• ホスト名 – VSFTPD

ホスト名を設定する場合は、ホスト名を使用します。

Copy to Clipboard

HOSTS 構成ファイルを編集します。

Copy to Clipboard

ドメインコントローラの IP アドレスとホスト名を追加します。

Copy to Clipboard

Kerberos 認証を有効にするために必要なパッケージの一覧をインストールします。

Copy to Clipboard

グラフィック・インストールで、以下の構成を実行します。

• Kerberos realm – TECH.LOCAL
• Kerberos server – TECH-DC01.TECH.LOCAL
• Administrative server – TECH-DC01.TECH.LOCAL

ネットワーク環境を反映するようにドメイン情報を変更する必要があります。

Kerberos 構成ファイルを編集します。

Copy to Clipboard

ここでは、設定の前にファイルがあります。

Copy to Clipboard

[libdefaults]
        default_realm = TECH.LOCAL
        kdc_timesync = 1
        ccache_type = 4
        forwardable = true
        proxiable = true
        fcc-mit-ticketflags = true
[realms]
        TECH.LOCAL = {
                kdc = TECH-DC01.TECH.LOCAL
                admin_server = TECH-DC01.TECH.LOCAL
        }
        ATHENA.MIT.EDU = {
                kdc = kerberos.mit.edu
                kdc = kerberos-1.mit.edu
                kdc = kerberos-2.mit.edu:88
                admin_server = kerberos.mit.edu
                default_domain = mit.edu
        }
        ZONE.MIT.EDU = {
                kdc = casio.mit.edu
                kdc = seiko.mit.edu
                admin_server = casio.mit.edu
        }
        CSAIL.MIT.EDU = {
                admin_server = kerberos.csail.mit.edu
                default_domain = csail.mit.edu
        }
        IHTFP.ORG = {
                kdc = kerberos.ihtfp.org
                admin_server = kerberos.ihtfp.org
        }
        1TS.ORG = {
                kdc = kerberos.1ts.org
                admin_server = kerberos.1ts.org
        }
        ANDREW.CMU.EDU = {
                admin_server = kerberos.andrew.cmu.edu
                default_domain = andrew.cmu.edu
        }
        CS.CMU.EDU = {
                kdc = kerberos-1.srv.cs.cmu.edu
                kdc = kerberos-2.srv.cs.cmu.edu
                kdc = kerberos-3.srv.cs.cmu.edu
                admin_server = kerberos.cs.cmu.edu
        }
        DEMENTIA.ORG = {
                kdc = kerberos.dementix.org
                kdc = kerberos2.dementix.org
                admin_server = kerberos.dementix.org
        }
        stanford.edu = {
                kdc = krb5auth1.stanford.edu
                kdc = krb5auth2.stanford.edu
                kdc = krb5auth3.stanford.edu
                master_kdc = krb5auth1.stanford.edu
                admin_server = krb5-admin.stanford.edu
                default_domain = stanford.edu
        }
        UTORONTO.CA = {
                kdc = kerberos1.utoronto.ca
                kdc = kerberos2.utoronto.ca
                kdc = kerberos3.utoronto.ca
                admin_server = kerberos1.utoronto.ca
                default_domain = utoronto.ca
        }
[domain_realm]
        .mit.edu = ATHENA.MIT.EDU
        mit.edu = ATHENA.MIT.EDU
        .media.mit.edu = MEDIA-LAB.MIT.EDU
        media.mit.edu = MEDIA-LAB.MIT.EDU
        .csail.mit.edu = CSAIL.MIT.EDU
        csail.mit.edu = CSAIL.MIT.EDU
        .whoi.edu = ATHENA.MIT.EDU
        whoi.edu = ATHENA.MIT.EDU
        .stanford.edu = stanford.edu
        .slac.stanford.edu = SLAC.STANFORD.EDU
        .toronto.edu = UTORONTO.CA
        .utoronto.ca = UTORONTO.CA

ここに、設定後のファイルがあります。

Copy to Clipboard

ネットワーク環境を反映するようにドメイン情報を変更する必要があります。

必要な Kerberos 構成が完了しました。

チュートリアル Ubuntu – VSFTPD のインストール

必要なパッケージをインストールします。

Copy to Clipboard

PAM 構成ファイルを編集します。

Copy to Clipboard

ここでは、設定の前にファイルの内容を示します。

Copy to Clipboard

ここでは、設定後のファイルの内容を示します。

Copy to Clipboard

VSFTPD サービス構成ファイルを検索する

Copy to Clipboard

VSFTPD サービス構成ファイルを編集する

Copy to Clipboard

このファイルの末尾に次の行を追加します。

Copy to Clipboard

ここでは、設定の前にファイルの内容を示します。

Copy to Clipboard

ここでは、設定後のファイルの内容を示します。

Copy to Clipboard

CHROOT 機能を使用すると、ユーザーがホームディレクトリから抜け出すことを防止できます。

ユーザーを CHROOT 機能から除外するには、ユーザー名をリスト・ファイルに追加します。

Copy to Clipboard

ここにファイルの内容があります。

Copy to Clipboard

この例では、TEST01 という名前のアカウントを除外しました。

FTP サービスを再起動します。

Copy to Clipboard

VSFTPD サービスをブート時に自動的に開始できるようにします。

Copy to Clipboard

Kerberos プロトコルを使用した認証のみを実行することに注意してください。

ユーザーアカウントはローカルに存在する必要があります。

次のコマンドを使用して、FTP サーバー上にローカルでユーザーアカウントを作成します。

Copy to Clipboard

おめでとう！ Kerberos を使用した VSFTP サーバー認証が完了しました。

チュートリアル Ubuntu – VSFTPD のインストールをテストします。

2 つのローカルアカウントを作成します。

Copy to Clipboard

この例では、TEST01 という名前のユーザーアカウントが CHROOT 機能から除外されています。

ユーザー名を CHROOT リストファイルに追加することで、このアカウントを除外しました。

Copy to Clipboard

リモートコンピュータで WINSCP ソフトウェアをダウンロードし、FTP サーバーへの接続を試みます。

FTP ユーザーを認証するには、アクティブディレクトリパスワードを使用します。

TEST01 という名前のアカウントは、HOME ディレクトリの外部にあるディレクトリにアクセスできます。

ADMIN という名前のアカウントは、HOME ディレクトリの外部にあるディレクトリにアクセスできません。

おめでとう！ Ubuntu Linux で VSFTPD インストールのテストに成功しました。

VSFTPD – Kerberos 認証

VSFTPD – Kerberos 認証

チュートリアルウィンドウ – ドメインアカウントの作成

VSFTPD – アクティブディレクトリでの Kerberos 認証

チュートリアル Ubuntu – VSFTPD のインストール

チュートリアル Ubuntu – VSFTPD のインストールをテストします。

VSFTPD – Kerberos 認証

VSFTPD – Kerberos 認証

チュートリアルウィンドウ – ドメインアカウントの作成

VSFTPD – アクティブ ディレクトリでの Kerberos 認証

チュートリアル Ubuntu – VSFTPD のインストール

チュートリアル Ubuntu – VSFTPD のインストールをテストします。

Related Posts

VSFTPD – Ubuntu Linux 上のセキュア FTP サーバーインストール

VSFTPD – Ubuntu Linux でのインストール

VSFTPD – アクティブディレクトリでの Kerberos 認証