Учебник VSFTPD - Проверка подлинности Kerberos

Хотите узнать, как настроить службу проверки подлинности VSFTPD Kerberos на Active Directory? В этом учебнике мы покажем вам, как проверить подлинность пользователей VSFTPD с помощью Active Directory от Microsoft Windows и протокола Kerberos.

• Ubuntu 20.04
• Ubuntu 19.10
• Ubuntu 18.04
• VSFTPD 3.0.3

В нашем примере IP-адрес контроллера домена 192.168.15.10.

В нашем примере IP-адрес сервера FTP составляет 192.168.0.200.

Учебник Windows — Создание учетной записи домена

• IP — 192.168.15.10
• Operacional System — WINDOWS 2012 R2
• Hostname — TECH-DC01

Нам нужно создать по крайней мере 1 учетную запись в базе данных Active Directory.

Учетная запись ADMIN будет использоваться для входа на сервер VSFTPD.

На контроллере домена откройте приложение под названием: Активные пользователи каталога и компьютеры

Создайте новую учетную запись в контейнере пользователей.

Создание новой учетной записи с именем: Админ

Пароль, настроенный для пользователя ADMIN: kamisama123

Эта учетная запись будет использоваться для проверки подлинности на сервере VSFTPD.

zabbix active directory admin properties

Повторите этот процесс и создайте новую учетную запись под названием TEST01.

Поздравляем, вы создали необходимую учетную запись Active Directory.

VSFTPD — Проверка подлинности Kerberos на Active Directory

• IP — 192.168.15.11
• Operational System — Ubuntu 20
Имя хозяина — VSFTPD

Установите имя хоста с помощью команды HOSTNAMECTL.

Copy to Clipboard

Редактировать файл конфигурации HOSTS.

Copy to Clipboard

Добавьте IP-адрес контроллера домена и имя хоста.

Copy to Clipboard

Установите список необходимых пакетов для проверки подлинности Kerberos.

Copy to Clipboard

На графической установке выполните следующую конфигурацию:

• Kerberos realm — TECH.LOCAL
• Kerberos server — TECH-DC01.TECH.LOCAL
• Administrative server — TECH-DC01.TECH.LOCAL

Необходимо изменить информацию о домене, чтобы отразить вашу среду Сети.

Редактировать файл конфигурации Kerberos.

Copy to Clipboard

Вот файл, перед нашей конфигурацией.

Copy to Clipboard

[libdefaults]
        default_realm = TECH.LOCAL
        kdc_timesync = 1
        ccache_type = 4
        forwardable = true
        proxiable = true
        fcc-mit-ticketflags = true
[realms]
        TECH.LOCAL = {
                kdc = TECH-DC01.TECH.LOCAL
                admin_server = TECH-DC01.TECH.LOCAL
        }
        ATHENA.MIT.EDU = {
                kdc = kerberos.mit.edu
                kdc = kerberos-1.mit.edu
                kdc = kerberos-2.mit.edu:88
                admin_server = kerberos.mit.edu
                default_domain = mit.edu
        }
        ZONE.MIT.EDU = {
                kdc = casio.mit.edu
                kdc = seiko.mit.edu
                admin_server = casio.mit.edu
        }
        CSAIL.MIT.EDU = {
                admin_server = kerberos.csail.mit.edu
                default_domain = csail.mit.edu
        }
        IHTFP.ORG = {
                kdc = kerberos.ihtfp.org
                admin_server = kerberos.ihtfp.org
        }
        1TS.ORG = {
                kdc = kerberos.1ts.org
                admin_server = kerberos.1ts.org
        }
        ANDREW.CMU.EDU = {
                admin_server = kerberos.andrew.cmu.edu
                default_domain = andrew.cmu.edu
        }
        CS.CMU.EDU = {
                kdc = kerberos-1.srv.cs.cmu.edu
                kdc = kerberos-2.srv.cs.cmu.edu
                kdc = kerberos-3.srv.cs.cmu.edu
                admin_server = kerberos.cs.cmu.edu
        }
        DEMENTIA.ORG = {
                kdc = kerberos.dementix.org
                kdc = kerberos2.dementix.org
                admin_server = kerberos.dementix.org
        }
        stanford.edu = {
                kdc = krb5auth1.stanford.edu
                kdc = krb5auth2.stanford.edu
                kdc = krb5auth3.stanford.edu
                master_kdc = krb5auth1.stanford.edu
                admin_server = krb5-admin.stanford.edu
                default_domain = stanford.edu
        }
        UTORONTO.CA = {
                kdc = kerberos1.utoronto.ca
                kdc = kerberos2.utoronto.ca
                kdc = kerberos3.utoronto.ca
                admin_server = kerberos1.utoronto.ca
                default_domain = utoronto.ca
        }
[domain_realm]
        .mit.edu = ATHENA.MIT.EDU
        mit.edu = ATHENA.MIT.EDU
        .media.mit.edu = MEDIA-LAB.MIT.EDU
        media.mit.edu = MEDIA-LAB.MIT.EDU
        .csail.mit.edu = CSAIL.MIT.EDU
        csail.mit.edu = CSAIL.MIT.EDU
        .whoi.edu = ATHENA.MIT.EDU
        whoi.edu = ATHENA.MIT.EDU
        .stanford.edu = stanford.edu
        .slac.stanford.edu = SLAC.STANFORD.EDU
        .toronto.edu = UTORONTO.CA
        .utoronto.ca = UTORONTO.CA

Вот файл, после нашей конфигурации.

Copy to Clipboard

Необходимо изменить информацию о домене, чтобы отразить вашу среду Сети.

Вы закончили необходимую конфигурацию Kerberos.

Учебник Ubuntu — Установка VSFTPD

Установите необходимые пакеты.

Copy to Clipboard

Редактировать файл конфигурации PAM.

Copy to Clipboard

Вот содержание файла, до нашей конфигурации.

Copy to Clipboard

Вот содержание файла, после нашей конфигурации.

Copy to Clipboard

Поиск файла конфигурации службы VSFTPD

Copy to Clipboard

Редактировать файл конфигурации службы VSFTPD

Copy to Clipboard

Добавьте следующие строки в конце этого файла.

Copy to Clipboard

Вот содержание файла, до нашей конфигурации.

Copy to Clipboard

Вот содержание файла, после нашей конфигурации.

Copy to Clipboard

Функция CHROOT не позволит пользователям выйти из каталога HOME.

Чтобы исключить пользователя из функции CHROOT, добавьте его имя пользователя в файл списка.

Copy to Clipboard

Вот содержимое файла.

Copy to Clipboard

В нашем примере мы исключили учетную запись под названием TEST01.

Перезапустить службу FTP.

Copy to Clipboard

Включите службу VSFTPD, чтобы начать автоматически во время загрузки.

Copy to Clipboard

Имейте в виду, что мы выполняем только аутентификацию с помощью протокола Kerberos.

Учетная запись пользователя должна существовать локально.

Используйте следующую команду для создания учетной записи пользователя локально на сервере FTP.

Copy to Clipboard

Поздравляю! Вы закончили проверку подлинности сервера VSFTP с помощью Kerberos.

Учебник Ubuntu — Тестирование установки VSFTPD

Создайте 2 локальных учетных записи.

Copy to Clipboard

В нашем примере учетная запись пользователя под названием TEST01 была исключена из функции CHROOT.

Мы исключили эту учетную запись, добавив имя пользователя в файл списка CHROOT.

Copy to Clipboard

На удаленном компьютере загрузите программное обеспечение WINSCP и попытайтесь подключиться к серверу FTP.

Используйте пароль Active Directory для проверки подлинности пользователей FTP.

Учетная запись под названием TEST01 сможет получить доступ к каталогам за пределами каталога HOME.

Учетная запись под названием ADMIN не сможет получить доступ к каталогам за пределами каталога HOME.

Поздравляю! Вы успешно протестировали установку VSFTPD на Ubuntu Linux.

VSFTPD — Проверка подлинности Kerberos

VSFTPD — Проверка подлинности Kerberos

Учебник Windows — Создание учетной записи домена

VSFTPD — Проверка подлинности Kerberos на Active Directory

Учебник Ubuntu — Установка VSFTPD

Учебник Ubuntu — Тестирование установки VSFTPD

Related Posts

VSFTPD — Безопасная установка сервера FTP на Ubuntu Linux

VSFTPD — Установка на Ubuntu Linux