Tutorial VSFTPD - Kerberos-godkjenning [ Trinn for trinn ]

Vil du lære hvordan du konfigurerer VSFTPD-tjenesten Kerberos-godkjenning på Active Directory? I denne opplæringen skal vi vise deg hvordan du godkjenner VSFTPD-brukere ved hjelp av Active Directory fra Microsoft Windows og Kerberos-protokollen.

• Ubuntu 20.04
• Ubuntu 19.10
• Ubuntu 18.04
• VSFTPD 3.0.3

I vårt eksempel er domenekontrollerens IP-adresse 192.168.15.10.

I vårt eksempel er FTP-serverens IP-adresse 192.168.0.200.

Tutorial Windows – Opprettelse av domenekonto

• IP – 192.168.15.10
• Operacional System – WINDOWS 2012 R2
• Vertsnavn – TECH-DC01

Vi må opprette minst én konto i Active Directory-databasen.

ADMIN-kontoen vil bli brukt til å logge inn på VSFTPD-serveren.

Åpne programmet med navnet: Active Directory-brukere og -datamaskiner på domenekontrolleren

Opprett en ny konto i brukerbeholderen.

Opprett en ny konto med navnet: admin

Passord konfigurert til ADMIN-brukeren: kamisama123

Denne kontoen brukes til å godkjenne på VSFTPD-serveren.

zabbix active directory admin properties

Gjenta denne prosessen, og opprett en ny konto kalt TEST01.

Gratulerer, du har opprettet den nødvendige Active Directory-kontoen.

VSFTPD – Kerberos-godkjenning i Active Directory

• IP – 192.168.15.11
• Driftssystem – Ubuntu 20
• Vertsnavn – VSFTPD

Angi et vertsnavn ved hjelp av hostnamectl -kommandoen.

Copy to Clipboard

Rediger HOSTS-konfigurasjonsfilen.

Copy to Clipboard

Legg til ip-adressen og vertsnavnet for domenekontrolleren.

Copy to Clipboard

Installer listen over nødvendige pakker for å aktivere Kerberos-godkjenning.

Copy to Clipboard

Utfør følgende konfigurasjon på grafikkinstallasjonen:

• Kerberos realm – TECH.LOCAL
• Kerberos server – TECH-DC01.TECH.LOCAL
• Administrative server – TECH-DC01.TECH.LOCAL

Du må endre domeneinformasjonen for å gjenspeile nettverksmiljøet.

Rediger Kerberos-konfigurasjonsfilen.

Copy to Clipboard

Her er filen, før vår konfigurasjon.

Copy to Clipboard

[libdefaults]
        default_realm = TECH.LOCAL
        kdc_timesync = 1
        ccache_type = 4
        forwardable = true
        proxiable = true
        fcc-mit-ticketflags = true
[realms]
        TECH.LOCAL = {
                kdc = TECH-DC01.TECH.LOCAL
                admin_server = TECH-DC01.TECH.LOCAL
        }
        ATHENA.MIT.EDU = {
                kdc = kerberos.mit.edu
                kdc = kerberos-1.mit.edu
                kdc = kerberos-2.mit.edu:88
                admin_server = kerberos.mit.edu
                default_domain = mit.edu
        }
        ZONE.MIT.EDU = {
                kdc = casio.mit.edu
                kdc = seiko.mit.edu
                admin_server = casio.mit.edu
        }
        CSAIL.MIT.EDU = {
                admin_server = kerberos.csail.mit.edu
                default_domain = csail.mit.edu
        }
        IHTFP.ORG = {
                kdc = kerberos.ihtfp.org
                admin_server = kerberos.ihtfp.org
        }
        1TS.ORG = {
                kdc = kerberos.1ts.org
                admin_server = kerberos.1ts.org
        }
        ANDREW.CMU.EDU = {
                admin_server = kerberos.andrew.cmu.edu
                default_domain = andrew.cmu.edu
        }
        CS.CMU.EDU = {
                kdc = kerberos-1.srv.cs.cmu.edu
                kdc = kerberos-2.srv.cs.cmu.edu
                kdc = kerberos-3.srv.cs.cmu.edu
                admin_server = kerberos.cs.cmu.edu
        }
        DEMENTIA.ORG = {
                kdc = kerberos.dementix.org
                kdc = kerberos2.dementix.org
                admin_server = kerberos.dementix.org
        }
        stanford.edu = {
                kdc = krb5auth1.stanford.edu
                kdc = krb5auth2.stanford.edu
                kdc = krb5auth3.stanford.edu
                master_kdc = krb5auth1.stanford.edu
                admin_server = krb5-admin.stanford.edu
                default_domain = stanford.edu
        }
        UTORONTO.CA = {
                kdc = kerberos1.utoronto.ca
                kdc = kerberos2.utoronto.ca
                kdc = kerberos3.utoronto.ca
                admin_server = kerberos1.utoronto.ca
                default_domain = utoronto.ca
        }
[domain_realm]
        .mit.edu = ATHENA.MIT.EDU
        mit.edu = ATHENA.MIT.EDU
        .media.mit.edu = MEDIA-LAB.MIT.EDU
        media.mit.edu = MEDIA-LAB.MIT.EDU
        .csail.mit.edu = CSAIL.MIT.EDU
        csail.mit.edu = CSAIL.MIT.EDU
        .whoi.edu = ATHENA.MIT.EDU
        whoi.edu = ATHENA.MIT.EDU
        .stanford.edu = stanford.edu
        .slac.stanford.edu = SLAC.STANFORD.EDU
        .toronto.edu = UTORONTO.CA
        .utoronto.ca = UTORONTO.CA

Her er filen, etter vår konfigurasjon.

Copy to Clipboard

Du må endre domeneinformasjonen for å gjenspeile nettverksmiljøet.

Du har fullført den nødvendige Kerberos-konfigurasjonen.

Tutorial Ubuntu – Installere VSFTPD

Installer de nødvendige pakkene.

Copy to Clipboard

Rediger PAM-konfigurasjonsfilen.

Copy to Clipboard

Her er filinnholdet, før konfigurasjonen vår.

Copy to Clipboard

Her er filinnholdet, etter konfigurasjonen vår.

Copy to Clipboard

Søke etter konfigurasjonsfilen for VSFTPD-tjenesten

Copy to Clipboard

Redigere konfigurasjonsfilen for VSFTPD-tjenesten

Copy to Clipboard

Legg til følgende linjer på slutten av denne filen.

Copy to Clipboard

Her er filinnholdet, før konfigurasjonen vår.

Copy to Clipboard

Her er filinnholdet, etter konfigurasjonen vår.

Copy to Clipboard

CHROOT-funksjonen hindrer brukere i å komme seg ut av HOME-katalogen.

Hvis du vil utelate en bruker fra CHROOT-funksjonen, legger du til brukernavnet i listefilen.

Copy to Clipboard

Her er filinnholdet.

Copy to Clipboard

I vårt eksempel ekskluderte vi kontoen test01.

Start FTP-tjenesten på nytt.

Copy to Clipboard

Aktiver VSFTPD-tjenesten for å starte automatisk under oppstart.

Copy to Clipboard

Husk at vi bare utfører godkjenningen ved hjelp av Kerberos-protokollen.

Brukerkontoen må finnes lokalt.

Bruk følgende kommando til å opprette en brukerkonto lokalt på FTP-serveren.

Copy to Clipboard

Gratulerer! Du er ferdig med VSFTP-servergodkjenning ved hjelp av Kerberos.

Tutorial Ubuntu – Testing av VSFTPD-installasjonen

Opprett to lokale kontoer.

Copy to Clipboard

I vårt eksempel ble brukerkontoen TEST01 ekskludert fra CHROOT-funksjonen.

Vi ekskluderte denne kontoen ved å legge til brukernavnet i CHROOT-listefilen.

Copy to Clipboard

Last ned WINSCP-programvaren på en ekstern datamaskin, og prøv å koble til FTP-serveren.

Bruk Active Directory-passordet til å godkjenne FTP-brukere.

Kontoen kalt TEST01 vil kunne få tilgang til kataloger utenfor home-katalogen.

Kontoen som heter ADMIN vil ikke kunne få tilgang til kataloger utenfor hjemmekatalogen.

Gratulerer! Du testet VSFTPD-installasjonen på Ubuntu Linux.

VSFTPD – Kerberos-godkjenning

VSFTPD – Kerberos-godkjenning

Tutorial Windows – Opprettelse av domenekonto

VSFTPD – Kerberos-godkjenning i Active Directory

Tutorial Ubuntu – Installere VSFTPD

Tutorial Ubuntu – Testing av VSFTPD-installasjonen

Related Posts

VSFTPD – Sikker FTP-serverinstallasjon på Ubuntu Linux

VSFTPD – Installasjon på Ubuntu Linux