教程 Ubuntu - 活动目录上的 Kerberos 身份验证

您想了解如何配置 Ubuntu Linux 以使用 Kerberos 在活动目录上进行身份验证吗？在本教程中，我们将向您展示如何使用 Active 目录上的 Kerberos 协议对 Ubuntu 用户进行身份验证。

• Ubuntu 20
• Ubuntu 19
• Ubuntu 18
• Windows 2012 R2

在我们的示例中，域控制器 IP 地址为 192.168.15.10。

在我们的示例中，Linux 服务器 IP 地址为 192.168.15.11。

Ubuntu 相关教程：

在此页面上，我们提供快速访问与 Ubuntu 相关的教程列表。

教程列表

教程 Ubuntu – 活动目录上的 Kerberos 身份验证

• IP – 192.168.15.11
• Operacional System – Ubuntu 20
• Hostname – UBUNTU01

编辑 HOSTS 配置文件。

Copy to Clipboard

添加域控制器 IP 地址和主机名。

Copy to Clipboard

安装所需的包以启用 Kerberos 身份验证。

Copy to Clipboard

在图形安装中，执行以下配置：

• Kerberos realm – TECH.LOCAL
• Kerberos server – TECH-DC01.TECH.LOCAL
• Administrative server – TECH-DC01.TECH.LOCAL

您需要更改域信息以反映网络环境。

编辑 Kerberos 配置文件。

Copy to Clipboard

这是我们配置之前的文件。

Copy to Clipboard

[libdefaults]
        default_realm = TECH.LOCAL
        kdc_timesync = 1
        ccache_type = 4
        forwardable = true
        proxiable = true
        fcc-mit-ticketflags = true
[realms]
        TECH.LOCAL = {
                kdc = TECH-DC01.TECH.LOCAL
                admin_server = TECH-DC01.TECH.LOCAL
        }
        ATHENA.MIT.EDU = {
                kdc = kerberos.mit.edu
                kdc = kerberos-1.mit.edu
                kdc = kerberos-2.mit.edu:88
                admin_server = kerberos.mit.edu
                default_domain = mit.edu
        }
        ZONE.MIT.EDU = {
                kdc = casio.mit.edu
                kdc = seiko.mit.edu
                admin_server = casio.mit.edu
        }
        CSAIL.MIT.EDU = {
                admin_server = kerberos.csail.mit.edu
                default_domain = csail.mit.edu
        }
        IHTFP.ORG = {
                kdc = kerberos.ihtfp.org
                admin_server = kerberos.ihtfp.org
        }
        1TS.ORG = {
                kdc = kerberos.1ts.org
                admin_server = kerberos.1ts.org
        }
        ANDREW.CMU.EDU = {
                admin_server = kerberos.andrew.cmu.edu
                default_domain = andrew.cmu.edu
        }
        CS.CMU.EDU = {
                kdc = kerberos-1.srv.cs.cmu.edu
                kdc = kerberos-2.srv.cs.cmu.edu
                kdc = kerberos-3.srv.cs.cmu.edu
                admin_server = kerberos.cs.cmu.edu
        }
        DEMENTIA.ORG = {
                kdc = kerberos.dementix.org
                kdc = kerberos2.dementix.org
                admin_server = kerberos.dementix.org
        }
        stanford.edu = {
                kdc = krb5auth1.stanford.edu
                kdc = krb5auth2.stanford.edu
                kdc = krb5auth3.stanford.edu
                master_kdc = krb5auth1.stanford.edu
                admin_server = krb5-admin.stanford.edu
                default_domain = stanford.edu
        }
        UTORONTO.CA = {
                kdc = kerberos1.utoronto.ca
                kdc = kerberos2.utoronto.ca
                kdc = kerberos3.utoronto.ca
                admin_server = kerberos1.utoronto.ca
                default_domain = utoronto.ca
        }
[domain_realm]
        .mit.edu = ATHENA.MIT.EDU
        mit.edu = ATHENA.MIT.EDU
        .media.mit.edu = MEDIA-LAB.MIT.EDU
        media.mit.edu = MEDIA-LAB.MIT.EDU
        .csail.mit.edu = CSAIL.MIT.EDU
        csail.mit.edu = CSAIL.MIT.EDU
        .whoi.edu = ATHENA.MIT.EDU
        whoi.edu = ATHENA.MIT.EDU
        .stanford.edu = stanford.edu
        .slac.stanford.edu = SLAC.STANFORD.EDU
        .toronto.edu = UTORONTO.CA
        .utoronto.ca = UTORONTO.CA

这是我们配置后的文件。

Copy to Clipboard

您需要更改域信息以反映网络环境。

作为域管理员启动 Kerberos 会话。

Copy to Clipboard

列出 Kerberos 会话。

Copy to Clipboard

下面是命令输出。

Copy to Clipboard

将 Linux 服务器添加为域计算机。

Copy to Clipboard

您需要更改域信息以反映网络环境。

您需要更改主机名。

作为域管理员停止 Kerberos 会话。

Copy to Clipboard

将密钥文件移动到正确的位置。

Copy to Clipboard

为 SSSD 服务创建配置文件。

Copy to Clipboard

这是文件内容。

Copy to Clipboard

您需要更改域信息以反映网络环境。

您需要更改主机名。

设置正确的文件权限。

Copy to Clipboard

编辑 PAM 配置文件。

Copy to Clipboard

找到以下行。

Copy to Clipboard

在行后，插入以下配置。

Copy to Clipboard

例如，以下是我们的配置文件的内容。

Copy to Clipboard

重新启动 SSD 服务。

Copy to Clipboard

祝贺！您已将 Ubuntu 身份验证配置为使用 Kerberos 协议。

教程 Ubuntu – 测试 Kerberos 身份验证

通过使用活动目录域帐户启动新的 SSH 会话来测试 Kerberos 身份验证。

Copy to Clipboard

在登录提示符上，输入活动目录帐户的域密码。

成功身份验证后，列出创建的 Kerberos 会话。

Copy to Clipboard

下面是命令输出。

Copy to Clipboard

列出帐户组。

Copy to Clipboard

下面是命令输出。

Copy to Clipboard

您已经成功地在 Ubuntu Linux 上测试了 Kerberos 身份验证。

Ubuntu – 活动目录上的 Kerberos 身份验证

Ubuntu – 活动目录上的 Kerberos 身份验证

Ubuntu 相关教程：

教程 Ubuntu – 活动目录上的 Kerberos 身份验证

教程 Ubuntu – 测试 Kerberos 身份验证

Related Posts