Tutorial VSFTPD - Autenticação Kerberos [ Passo a passo ]

Gostaria de aprender como configurar a autenticação Kerberos do serviço VSFTPD no Active Directory? Neste tutorial, vamos mostrar como autenticar os usuários do VSFTPD usando o Active Directory da Microsoft Windows e o protocolo Kerberos.

• Ubuntu 20.04
• Ubuntu 19.10
• Ubuntu 18.04
• VSFTPD 3.0.3

Em nosso exemplo, o endereço IP do controlador de domínio é 192.168.15.10.

Em nosso exemplo, o endereço IP do servidor FTP é 192.168.0.200.

Tutorial Windows - Criação de Conta de Domínio

• IP - 192.168.15.10
• Sistema Operacional - WINDOWS 2012 R2
• Nome de host - TECH-DC01

Precisamos criar pelo menos 1 conta no banco de dados do Active Directory.

A conta ADMIN será usada para fazer login no servidor VSFTPD.

No controlador de domínio, abra o aplicativo chamado: Usuários e Computadores do Active Directory.

Crie uma nova conta dentro do contêiner usuários.

Crie uma nova conta chamada: administração

Senha configurada para o usuário ADMIN: kamisama123

Esta conta será usada para autenticar no servidor VSFTPD.

zabbix active directory admin properties

Repita esse processo e crie uma nova conta chamada TEST01.

Parabéns, você criou a conta do Active Directory necessária.

VSFTPD - Autenticação kerberos no Active Directory

• IP - 192.168.15.11
• Sistema Operacional - Ubuntu 20
• Hostname - VSFTPD

Defina um nome de host usando o comando HOSTNAMECTL.

Copy to Clipboard

Editar o arquivo de configuração HOSTS.

Copy to Clipboard

Adicione o endereço IP do controlador de domínio e o nome do host.

Copy to Clipboard

Instale a lista de pacotes necessários para habilitar a autenticação kerberos.

Copy to Clipboard

Na instalação Gráfica, execute a seguinte configuração:

• Kerberos realm - TECH.LOCAL
• Kerberos server - TECH-DC01.TECH.LOCAL
• Administrative server - TECH-DC01.TECH.LOCAL

Você precisa alterar as informações de domínio para refletir seu ambiente de Rede.

Edite o arquivo de configuração Kerberos.

Copy to Clipboard

Aqui está o arquivo, antes de nossa configuração.

Copy to Clipboard

[libdefaults]
        default_realm = TECH.LOCAL
        kdc_timesync = 1
        ccache_type = 4
        forwardable = true
        proxiable = true
        fcc-mit-ticketflags = true
[realms]
        TECH.LOCAL = {
                kdc = TECH-DC01.TECH.LOCAL
                admin_server = TECH-DC01.TECH.LOCAL
        }
        ATHENA.MIT.EDU = {
                kdc = kerberos.mit.edu
                kdc = kerberos-1.mit.edu
                kdc = kerberos-2.mit.edu:88
                admin_server = kerberos.mit.edu
                default_domain = mit.edu
        }
        ZONE.MIT.EDU = {
                kdc = casio.mit.edu
                kdc = seiko.mit.edu
                admin_server = casio.mit.edu
        }
        CSAIL.MIT.EDU = {
                admin_server = kerberos.csail.mit.edu
                default_domain = csail.mit.edu
        }
        IHTFP.ORG = {
                kdc = kerberos.ihtfp.org
                admin_server = kerberos.ihtfp.org
        }
        1TS.ORG = {
                kdc = kerberos.1ts.org
                admin_server = kerberos.1ts.org
        }
        ANDREW.CMU.EDU = {
                admin_server = kerberos.andrew.cmu.edu
                default_domain = andrew.cmu.edu
        }
        CS.CMU.EDU = {
                kdc = kerberos-1.srv.cs.cmu.edu
                kdc = kerberos-2.srv.cs.cmu.edu
                kdc = kerberos-3.srv.cs.cmu.edu
                admin_server = kerberos.cs.cmu.edu
        }
        DEMENTIA.ORG = {
                kdc = kerberos.dementix.org
                kdc = kerberos2.dementix.org
                admin_server = kerberos.dementix.org
        }
        stanford.edu = {
                kdc = krb5auth1.stanford.edu
                kdc = krb5auth2.stanford.edu
                kdc = krb5auth3.stanford.edu
                master_kdc = krb5auth1.stanford.edu
                admin_server = krb5-admin.stanford.edu
                default_domain = stanford.edu
        }
        UTORONTO.CA = {
                kdc = kerberos1.utoronto.ca
                kdc = kerberos2.utoronto.ca
                kdc = kerberos3.utoronto.ca
                admin_server = kerberos1.utoronto.ca
                default_domain = utoronto.ca
        }
[domain_realm]
        .mit.edu = ATHENA.MIT.EDU
        mit.edu = ATHENA.MIT.EDU
        .media.mit.edu = MEDIA-LAB.MIT.EDU
        media.mit.edu = MEDIA-LAB.MIT.EDU
        .csail.mit.edu = CSAIL.MIT.EDU
        csail.mit.edu = CSAIL.MIT.EDU
        .whoi.edu = ATHENA.MIT.EDU
        whoi.edu = ATHENA.MIT.EDU
        .stanford.edu = stanford.edu
        .slac.stanford.edu = SLAC.STANFORD.EDU
        .toronto.edu = UTORONTO.CA
        .utoronto.ca = UTORONTO.CA

Aqui está o arquivo, depois de nossa configuração.

Copy to Clipboard

Você precisa alterar as informações de domínio para refletir seu ambiente de Rede.

Você terminou a configuração kerberos necessária.

Tutorial Ubuntu - Instalação do VSFTPD

Instale os pacotes necessários.

Copy to Clipboard

Editar o arquivo de configuração PAM.

Copy to Clipboard

Aqui está o conteúdo do arquivo, antes de nossa configuração.

Copy to Clipboard

Aqui está o conteúdo do arquivo, após nossa configuração.

Copy to Clipboard

Localize o arquivo de configuração do serviço VSFTPD

Copy to Clipboard

Edite o arquivo de configuração do serviço VSFTPD

Copy to Clipboard

Adicione as seguintes linhas no final deste arquivo.

Copy to Clipboard

Aqui está o conteúdo do arquivo, antes de nossa configuração.

Copy to Clipboard

Aqui está o conteúdo do arquivo, após nossa configuração.

Copy to Clipboard

O recurso CHROOT impedirá que os usuários saiam do diretório HOME.

Para excluir um usuário do recurso CHROOT, adicione seu nome de usuário no arquivo da lista.

Copy to Clipboard

Aqui está o conteúdo do arquivo.

Copy to Clipboard

Em nosso exemplo, excluímos a conta chamada TEST01.

Reinicie o serviço FTP.

Copy to Clipboard

Habilite o serviço VSFTPD para iniciar automaticamente durante a inicialização.

Copy to Clipboard

Tenha em mente que estamos realizando apenas a autenticação usando o protocolo Kerberos.

A conta de usuário deve existir localmente.

Use o seguinte comando para criar uma conta de usuário localmente no servidor FTP.

Copy to Clipboard

Parabéns! Você terminou a autenticação do servidor VSFTP usando Kerberos.

Tutorial Ubuntu - Testando a instalação vsftpd

Crie 2 contas locais.

Copy to Clipboard

Em nosso exemplo, a conta de usuário chamada TEST01 foi excluída do recurso CHROOT.

Excluímos esta conta adicionando o nome de usuário ao arquivo da lista CHROOT.

Copy to Clipboard

Em um computador remoto, baixe o software WINSCP e tente se conectar ao servidor FTP.

Use a senha do Active Directory para autenticar os usuários ftp.

A conta chamada TEST01 poderá acessar diretórios fora de seu diretório HOME.

A conta nomeada ADMIN não poderá acessar diretórios fora de seu diretório HOME.

Parabéns! Você testou com sucesso a instalação VSFTPD no Ubuntu Linux.

VSFTPD - Autenticação kerberos

VSFTPD - Autenticação kerberos

Tutorial Windows - Criação de Conta de Domínio

VSFTPD - Autenticação kerberos no Active Directory

Tutorial Ubuntu - Instalação do VSFTPD

Tutorial Ubuntu - Testando a instalação vsftpd

Related Posts

VSFTPD - Instalação segura do servidor FTP no Ubuntu Linux

VSFTPD - Instalação no Ubuntu Linux