Zelfstudie VSFTPD - Kerberos-verificatie [ Stap voor stap ]

Wilt u weten hoe u de KERberos-verificatie van de VSFTPD-service configureren op Active Directory? In deze zelfstudie laten we u zien hoe u VSFTPD-gebruikers verifiëren met behulp van de Active Directory van Microsoft Windows en het Kerberos-protocol.

• Ubuntu 20.04
• Ubuntu 19.10
• Ubuntu 18.04
• VSFTPD 3.0.3

In ons voorbeeld is het IP-adres van de domeincontroller 192.168.15.10.

In ons voorbeeld is het IP-adres van de FTP-server 192.168.0.200.

Zelfstudie Windows – Domeinaccount maken

• IP – 192.168.15.10
• Operacional System – WINDOWS 2012 R2
• Hostname – TECH-DC01

We moeten ten minste 1 account maken in de Active Directory-database.

Het ADMIN-account wordt gebruikt om in te loggen op de VSFTPD-server.

Open op de domeincontroller de toepassing met de naam: Active Directory Users and Computers

Maak een nieuw account in de container Gebruikers.

Een nieuw account met de naam: beheerder maken

Wachtwoord geconfigureerd voor de ADMIN-gebruiker: kamisama123

Dit account wordt gebruikt om te verifiëren op de VSFTPD-server.

zabbix active directory admin properties

Herhaal dit proces en maak een nieuw account met de naam TEST01.

Gefeliciteerd, u hebt het vereiste Active Directory-account gemaakt.

VSFTPD – Kerberos-verificatie in de Active Directory

• IP – 192.168.15.11
• Operationeel systeem – Ubuntu 20
• Hostname – VSFTPD

Stel een hostnaam in met de opdracht HOSTNAMECTL.

Copy to Clipboard

Het configuratiebestand HOSTS bewerken.

Copy to Clipboard

Voeg het IP-adres en de hostnaam van de domeincontroller toe.

Copy to Clipboard

Installeer de lijst met vereiste pakketten om de Kerberos-verificatie in te schakelen.

Copy to Clipboard

Voer in de grafische installatie de volgende configuratie uit:

• Kerberos realm – TECH.LOCAL
• Kerberos server – TECH-DC01.TECH.LOCAL
• Administrative server – TECH-DC01.TECH.LOCAL

U moet de domeininformatie wijzigen om uw netwerkomgeving weer te geven.

Het configuratiebestand van Kerberos bewerken.

Copy to Clipboard

Hier is het bestand, voor onze configuratie.

Copy to Clipboard

[libdefaults]
        default_realm = TECH.LOCAL
        kdc_timesync = 1
        ccache_type = 4
        forwardable = true
        proxiable = true
        fcc-mit-ticketflags = true
[realms]
        TECH.LOCAL = {
                kdc = TECH-DC01.TECH.LOCAL
                admin_server = TECH-DC01.TECH.LOCAL
        }
        ATHENA.MIT.EDU = {
                kdc = kerberos.mit.edu
                kdc = kerberos-1.mit.edu
                kdc = kerberos-2.mit.edu:88
                admin_server = kerberos.mit.edu
                default_domain = mit.edu
        }
        ZONE.MIT.EDU = {
                kdc = casio.mit.edu
                kdc = seiko.mit.edu
                admin_server = casio.mit.edu
        }
        CSAIL.MIT.EDU = {
                admin_server = kerberos.csail.mit.edu
                default_domain = csail.mit.edu
        }
        IHTFP.ORG = {
                kdc = kerberos.ihtfp.org
                admin_server = kerberos.ihtfp.org
        }
        1TS.ORG = {
                kdc = kerberos.1ts.org
                admin_server = kerberos.1ts.org
        }
        ANDREW.CMU.EDU = {
                admin_server = kerberos.andrew.cmu.edu
                default_domain = andrew.cmu.edu
        }
        CS.CMU.EDU = {
                kdc = kerberos-1.srv.cs.cmu.edu
                kdc = kerberos-2.srv.cs.cmu.edu
                kdc = kerberos-3.srv.cs.cmu.edu
                admin_server = kerberos.cs.cmu.edu
        }
        DEMENTIA.ORG = {
                kdc = kerberos.dementix.org
                kdc = kerberos2.dementix.org
                admin_server = kerberos.dementix.org
        }
        stanford.edu = {
                kdc = krb5auth1.stanford.edu
                kdc = krb5auth2.stanford.edu
                kdc = krb5auth3.stanford.edu
                master_kdc = krb5auth1.stanford.edu
                admin_server = krb5-admin.stanford.edu
                default_domain = stanford.edu
        }
        UTORONTO.CA = {
                kdc = kerberos1.utoronto.ca
                kdc = kerberos2.utoronto.ca
                kdc = kerberos3.utoronto.ca
                admin_server = kerberos1.utoronto.ca
                default_domain = utoronto.ca
        }
[domain_realm]
        .mit.edu = ATHENA.MIT.EDU
        mit.edu = ATHENA.MIT.EDU
        .media.mit.edu = MEDIA-LAB.MIT.EDU
        media.mit.edu = MEDIA-LAB.MIT.EDU
        .csail.mit.edu = CSAIL.MIT.EDU
        csail.mit.edu = CSAIL.MIT.EDU
        .whoi.edu = ATHENA.MIT.EDU
        whoi.edu = ATHENA.MIT.EDU
        .stanford.edu = stanford.edu
        .slac.stanford.edu = SLAC.STANFORD.EDU
        .toronto.edu = UTORONTO.CA
        .utoronto.ca = UTORONTO.CA

Hier is het bestand, na onze configuratie.

Copy to Clipboard

U moet de domeininformatie wijzigen om uw netwerkomgeving weer te geven.

U bent klaar met de vereiste Kerberos-configuratie.

Zelfstudie Ubuntu – VSFTPD installeren

Installeer de benodigde pakketten.

Copy to Clipboard

Het PAM-configuratiebestand bewerken.

Copy to Clipboard

Hier is de bestandsinhoud, vóór onze configuratie.

Copy to Clipboard

Hier is de bestandsinhoud, na onze configuratie.

Copy to Clipboard

Zoeken naar het VSFTPD-serviceconfiguratiebestand

Copy to Clipboard

Het configuratiebestand van de VSFTPD-service bewerken

Copy to Clipboard

Voeg de volgende regels toe aan het einde van dit bestand.

Copy to Clipboard

Hier is de bestandsinhoud, vóór onze configuratie.

Copy to Clipboard

Hier is de bestandsinhoud, na onze configuratie.

Copy to Clipboard

De CHROOT-functie voorkomt dat gebruikers uit hun HOME-directory komen.

Als u een gebruiker wilt uitsluiten van de CHROOT-functie, voegt u de gebruikersnaam toe aan het lijstbestand.

Copy to Clipboard

Hier is de inhoud van het bestand.

Copy to Clipboard

In ons voorbeeld hebben we het account TEST01 uitgesloten.

Start de FTP-service opnieuw.

Copy to Clipboard

Schakel de VSFTPD-service in om automatisch te starten tijdens het opstarten.

Copy to Clipboard

Houd er rekening mee dat we alleen de verificatie uitvoeren met behulp van het Kerberos-protocol.

Het gebruikersaccount moet lokaal bestaan.

Gebruik de volgende opdracht om een gebruikersaccount lokaal te maken op de FTP-server.

Copy to Clipboard

Gefeliciteerd! U bent klaar met de VSFTP-serververificatie met Kerberos.

Zelfstudie Ubuntu – De VSFTPD-installatie testen

Maak 2 lokale accounts.

Copy to Clipboard

In ons voorbeeld is het gebruikersaccount met de naam TEST01 uitgesloten van de CHROOT-functie.

We hebben dit account uitgesloten door de gebruikersnaam toe te voegen aan het CHROOT-lijstbestand.

Copy to Clipboard

Download op een externe computer de WINSCP-software en probeer verbinding te maken met de FTP-server.

Gebruik het Active Directory-wachtwoord om de FTP-gebruikers te verifiëren.

Het account met de naam TEST01 heeft toegang tot mappen buiten de HOME-directory.

Het account met de naam ADMIN heeft geen toegang tot mappen buiten de HOME-directory.

Gefeliciteerd! Je hebt de VSFTPD installatie met succes getest op Ubuntu Linux.

VSFTPD – Kerberos-verificatie

VSFTPD – Kerberos-verificatie

Zelfstudie Windows – Domeinaccount maken

VSFTPD – Kerberos-verificatie in de Active Directory

Zelfstudie Ubuntu – VSFTPD installeren

Zelfstudie Ubuntu – De VSFTPD-installatie testen

Related Posts

VSFTPD – Veilige FTP-serverinstallatie op Ubuntu Linux

VSFTPD – Installatie op Ubuntu Linux