![\"ticket\"](\"https:\/\/vm.piszki.pl\/wp-content\/uploads\/2019\/04\/ticket.jpg\" "\\"ticket\\"")
<\/a><\/p>\n<\/p>\n
Mimo, \u017ce nie ma ogranicze\u0144 co do ilo\u015bci w\u0119z\u0142\u00f3w, to ja tutaj zastosuj\u0119 tylko dwa, dzia\u0142aj\u0105ce w pe\u0142nej replikacji. W ramach przygotowa\u0144 musicie posiada\u0107 serwer DNS oraz mie\u0107 sp\u00f3jny czas w ca\u0142ym \u015brodowisku (NTP). Jako system operacyjny wybra\u0142em CentOS 7, ale dla samej konfiguracji klastra nie ma to wi\u0119kszego znaczenia, r\u00f3wnie dobrze mo\u017ce to by\u0107 Ubuntu 18. Na potrzeby tej instalacji wygenerowa\u0142em now\u0105 domen\u0119 hdfs.lab oraz dwa serwery HDC1 i HDC2 o IP 192.168.30.11,12. Nowa domena wzi\u0119\u0142a si\u0119 st\u0105d, \u017ce Active Directory to te\u017c Kerberos, i w sieci nie mog\u0105 funkcjonowa\u0107 dwa o\u015brodki obs\u0142uguj\u0105ce t\u0119 sam\u0105 domen\u0119 (u mnie: piszki.lab).\u00a0 Zaczynamy od zainstalowania wszystkich potrzebnych pakiet\u00f3w (na obydwu w\u0119z\u0142ach):<\/p>\n
yum install krb5-server krb5-server-ldap krb5-workstation pam_krb5 openldap compat-openldap openldap-clients openldap-servers openldap-servers-sql openldap-devel nss-pam-ldapd cyrus-sasl-gssapi<\/strong><\/span><\/p>\n Do tego dojdzie kilka dodatkowych pakiet\u00f3w dla spe\u0142nienia zale\u017cno\u015bci. Zaczniemy oczywi\u015bcie od skonfigurowania OpenLDAP w trybie multimaster, proponuj\u0119 przygotowa\u0107 sobie katalog o nazwie \/root\/ldap w kt\u00f3rym utworzymy szereg plik\u00f3w ldif. B\u0119dziemy stawia\u0107 tylko i wy\u0142\u0105cznie OpenLDAP w wersji zabezpieczonej TLS (i dost\u0119p og\u00f3lny i replikacja), dlatego na starcie potrzebujecie certyfikatu. Ja wygenerowa\u0142em jeden certyfikat z nazwami SAN dla obu serwer\u00f3w (o certyfikatach b\u0119dzie jeszcze dalej). Jako za\u0142\u0105cznik do tego artyku\u0142u znajdziecie m\u00f3j skrypt camenu za pomoc\u0105 kt\u00f3rego mo\u017cecie stworzy\u0107 w\u0142asne CA oraz wygenerowa\u0107 dowolny certyfikat. Od tego momentu konfiguracj\u0119 tworzymy jednocze\u015bnie na obydwu w\u0119z\u0142ach, w chwili gdy w\u0142\u0105czymy replikacj\u0119, dalsza konfiguracja b\u0119dzie odbywa\u0142a si\u0119 tylko na w\u0119\u017ale pierwszym.<\/p>\n Zawarto\u015b\u0107 pliku \/etc\/sysconfig\/slapd :<\/p>\n SLAPD_URLS=”ldapi:\/\/\/ ldap:\/\/\/ ldaps:\/\/\/” Do pliku \/etc\/rsyslog.conf dodajemy lini\u0119:<\/p>\n local4.*\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 \/var\/log\/openldap\/ldap.log<\/strong><\/span><\/p>\n Zawarto\u015b\u0107 pliku \/etc\/logrotate.d\/openldap<\/p>\n \/var\/log\/openldap\/ldap.log { Kopiujemy plik: Zawarto\u015b\u0107 pliku \/etc\/openldap\/ldap.conf :<\/p>\n BASE\u00a0\u00a0\u00a0 dc=hdfs,dc=lab TLS_CACERTDIR\u00a0\u00a0 \/etc\/openldap\/certs Restartujemy us\u0142ug\u0119 rsyslog, startujemy us\u0142ug\u0119 slapd (w \/var\/log\/openldap powinien pojawi\u0107 si\u0119 plik ldap.log). Certyfikaty kopiujemy do \/etc\/openldap\/certs (w moim przypadku s\u0105 to dc.crt, dc.key i ca.crt). Jeste\u015bmy gotowi, mo\u017cemy dzia\u0142a\u0107 dalej (slapd b\u0119dzie nas\u0142uchiwa\u0142 na portach 88 i 636, odpowiednio skonfigurujcie firewalld).<\/p>\n Tworzymy pierwszy plik LDIF (\u0142adujemy modu\u0142 do synchronizacji):<\/p>\n [root@hdc1 ldap]# cat 01_syncprov.ldif Tworzymy drugi plik LDIF (olcServerID jest inne na ka\u017cdym serwerze!):<\/p>\n [root@hdc1 ldap]# cat 02_config.ldif Generujemy has\u0142o poleceniem slappasswd i wgrywamy je do trzeciego pliku LDIF :<\/p>\n [root@hdc1 ldap]# cat 03_rootpw.ldif Tworzymy czwarty plik LDIF (zast\u0119pujemy istniej\u0105ce certyfikaty naszymi w\u0142asnymi, uwaga: plik z kluczem (dc.key) musi mie\u0107 w\u0142asno\u015b\u0107 grupy \u201cldap\u201d oraz uprawnienia 640):<\/p>\n [root@hdc1 ldap]# cat 04_ssl.ldif Tworzymy pi\u0105ty plik LDIF (konfiguracja replikacji pomi\u0119dzy w\u0119z\u0142ami, has\u0142o XXXXX to oczywi\u015bcie te, kt\u00f3re wygenerowali\u015bcie wy\u017cej poleceniem slappasswd):<\/p>\n [root@hdc1 ldap]# cat 05_configrep.ldif dn: olcOverlay=syncprov,olcDatabase={0}config,cn=config dn: olcDatabase={0}config,cn=config W dalszej kolejno\u015bci wgrywamy po kolei pliki na obydwu serwerach, w rezultacie otrzymamy klaster OpenLDAP replikuj\u0105cy pomi\u0119dzy sob\u0105 dane.<\/p>\n Od tego momentu wszystkie kroki wykonujemy na jednym w\u0119\u017ale (!!!), ustawienia zostan\u0105 zreplikowane.<\/p>\n Tworzymy sz\u00f3sty plik LDIF (wskazanie bazy do replikacji, ja u\u017cywam {2}hdb):<\/p>\n [root@hdc1 ldap]# cat 06_syncdb.ldif Tworzymy si\u00f3dmy plik LDIF (has\u0142o olcRootPW i credentials to to samo co w plikach 03 i 05):<\/p>\n [root@hdc1 ldap]# cat 07_ldapdomain.ldif W kolejnym kroku wgrywamy obydwa pliki, od tego momentu mamy w\u0142\u0105czon\u0105 replikacj\u0119 bazy danych OpenLDAP (b\u0119dzie to wyra\u017anie wida\u0107 w logu, gdzie pojawi\u0105 si\u0119 cyklicznie wpisy z replikacji).<\/p>\n Tworzymy \u00f3smy plik LDIF (ograniczenie replikacji do konta ldapadm):<\/p>\n [root@hdc1 ldap]# cat 08_monitor.ldif W kolejnym kroku wgramy podstawowe schematy do OpenLDAP (definicje parametr\u00f3w):<\/p>\n ldapadd \u2013Y EXTERNAL \u2013H ldapi:\/\/\/ \u2013f \/etc\/openldap\/schema\/cosine.ldif (nis, inetorgperson, java, misc)<\/p>\n Tworzymy dziewi\u0105ty plik LDIF (zawarto\u015b\u0107 katalogu, administrator oraz grupy, zawarto\u015b\u0107 mo\u017ce by\u0107 dowolna):<\/p>\n [root@hdc1 ldap]# cat 09_base.ldif dn: cn=ldapadm,dc=hdfs,dc=lab dn: ou=Users,dc=hdfs,dc=lab dn: ou=Groups,dc=hdfs,dc=lab dn: ou=Services,dc=hdfs,dc=lab Tworzymy dziesi\u0105ty plik (jest to definicja memberOf, ten parametr jest wymagany cz\u0119sto przy przeszukiwaniu katalogu przez us\u0142ugi zewn\u0119trzne):<\/p>\n [root@hdc1 ldap]# cat 10_memberof.ldif dn: olcOverlay={0}memberof,olcDatabase={2}hdb,cn=config dn: cn=module,cn=config dn: olcOverlay={1}refint,olcDatabase={2}hdb,cn=config Plik ten wgrywamy poleceniem ldapadd \u2013x \u2013w \u2018XXXXX\u2019 \u2013D \u201ccn=ldapadm,dc=hdfs,dc=lab\u201d \u2013f 09_base.ldif (z has\u0142em).<\/p>\n Ten prosty skrypt bash wygeneruje w katalogu \/root\/ldap jedenasty plik LDIF:<\/p>\n cp \/usr\/share\/doc\/krb5-server-ldap-1.15.1\/kerberos.schema \/etc\/openldap\/schema cp \/tmp\/ldap-kerberos\/krb5_ldif\/cn=config\/cn=schema\/cn\\=\\{0\\}kerberos.ldif \/root\/ldap\/11_kerberos.ldif [root@hdc1 ldap]# cat 12_index.ldif Wgranie: ldapmodify -Y EXTERNAL -H ldapi:\/\/\/ -f 12_index.ldif<\/p>\n Zawarto\u015b\u0107 pliku \/etc\/krb5.conf (definicja naszej domeny):<\/p>\n includedir \/etc\/krb5.conf.d\/<\/strong><\/span><\/p>\n [logging] [libdefaults] [realms] [dbdefaults] [appdefaults] [dbmodules] [domain_realm] Zawarto\u015b\u0107 pliku \/var\/kerberos\/krb5kdc\/kdc.conf :<\/p>\n [kdcdefaults] [realms] Zawarto\u015b\u0107 pliku \/var\/kerberos\/krb5kdc\/kadm5.acl :<\/p>\n *\/admin@HDFS.LAB\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 *<\/strong><\/span><\/p>\n Generujemy plik z has\u0142em dla ldapadm kt\u00f3rym kerberos b\u0119dzie si\u0119 \u0142\u0105czy\u0142 z OpenLDAP, na obydwu serwerach robimy to samo.<\/p>\n kdb5_ldap_util -D cn=ldapadm,dc=hdfs,dc=lab stashsrvpw -f \/var\/kerberos\/krb5kdc\/service.keyfile cn=ldapadm,dc=hdfs,dc=lab<\/strong><\/span><\/p>\n Generujemy struktur\u0119 kerberosa w ldap (robimy to tylko na jednym serwerze):<\/p>\n kdb5_ldap_util -D „cn=ldapadm,dc=hdfs,dc=lab” -H ldap:\/\/hdc1.hdfs.lab create -subtrees „cn=Kerberos,dc=hdfs,dc=lab” -r HDFS.LAB -s<\/strong><\/span><\/p>\n W nast\u0119pnym kroku startujemy us\u0142ugi krb5kdc (na obydwu serwerach) i kadmin na pierwszym. Doszli\u015bmy do etapu, w kt\u00f3rym mo\u017cemy przeprowadzi\u0107 konfiguracj\u0119 \u201cklienta\u201d. W moim przypadku b\u0119dzie to CentOS 7, konfiguracja klienta kt\u00f3ry jest serwerem jest nieco inna od \u201czwyk\u0142ego\u201d klienta, postaram si\u0119 to rozr\u00f3\u017cni\u0107. Zaczniemy jednak od przetestowania kerberosa, musimy doda\u0107 w\u0142a\u015bciwe uprawnienia:<\/p>\n kadmin.local -q „addprinc admin\/admin”<\/p>\n kadmin.local -q „addprinc root\/admin”<\/p>\n Oraz dla u\u017cytkownika root:<\/p>\n Nast\u0119pnie dodajemy uprawnienia dla host\u00f3w w klastrze (jako host i jako ldap):<\/p>\n Zapisujemy uprawnienia host\u00f3w do pliku \/etc\/krb5.keytab (plik kopiujemy te\u017c na drugi w\u0119ze\u0142, w\u0142a\u015bcicielem pliku powinien by\u0107 u\u017cytkownik \u201cldap\u201d): Tworzymy plik\/var\/kerberos\/krb5kdc\/kadm5.keytab (kopiujemy go na drugi w\u0119ze\u0142):<\/p>\n Na tym etapie mamy dzia\u0142aj\u0105cy OpenLDAP i Kerberos, teraz dokonamy kerberyzacji ldap, czyli skonfigurujemy w systemie mo\u017cliwo\u015b\u0107 zalogowania si\u0119 kontem z ldap, wygenerowania uprawnie\u0144 kerberos i u\u017cycia ich z ssh. Robimy to na razie na w\u0119z\u0142ach klastra, na samym ko\u0144cu poka\u017c\u0119 procedur\u0119 pod\u0142\u0105czenia serwera klienckiego do ca\u0142ego systemu (b\u0119dzie zdecydowanie pro\u015bciej). Do zarz\u0105dzania OpenLDAP polecam klienta LDAP Admin<\/a>, prosty i skuteczny. w moim katalogu utworz\u0119 u\u017cytkownika ppisz kt\u00f3rego u\u017cyj\u0119 do dalszych test\u00f3w (nadajemy mu uprawnienia w domenie: kadmin.local \u2013q \u201caddprinc ppisz\u201d).<\/p>\n W\u0142\u0105czamy mo\u017cliwo\u015b\u0107 zalogowania si\u0119 kontem OpenLDAP:<\/p>\n authconfig –updateall –enableldap –enableldapauth –enablemkhomedir<\/p>\n Autentykacj\u0119 ldap zapewnia us\u0142uga NSCD:<\/p>\n [root@HDC2 ~]# cat \/etc\/nslcd.conf uri ldaps:\/\/hdc1.hdfs.lab ldaps:\/\/hdc2.hdfs.lab<\/strong><\/span><\/p>\n base dc=hdfs,dc=lab<\/strong><\/span><\/p>\n bind_timelimit 30 ssl on Restartujemy us\u0142ug\u0119 nscd i mo\u017cemy si\u0119 logowa\u0107 kontem z OpenLDAP oraz generowa\u0107 uprawnienia kerberos<\/p>\n Aby wszystko spi\u0105\u0107 razem, musimy jeszcze skonfigurowa\u0107 po\u0142\u0105czenie kerberosa z ldap za pomoc\u0105 GSSAPI.<\/p>\n Tworzymy trzynasty plik LDIF:<\/p>\n [root@hdc1 ldap]# cat 13_sasl.ldif Wgranie: ldapmodify -QY EXTERNAL -H ldapi:\/\/\/ -f 13_sasl.ldif<\/p>\n Uzupe\u0142niamy plik \/etc\/openldap\/ldap.conf o dyrektywy GSSAPI:<\/p>\n [root@hdc1 ~]# cat \/etc\/openldap\/ldap.conf TLS_CACERTDIR\u00a0\u00a0 \/etc\/openldap\/cacerts SASL_NOCANON\u00a0\u00a0\u00a0 on Jak wida\u0107 w obu powy\u017cszych przypadkach, jako URI s\u0105 wskazane obydwa serwery OpenLDAP. O ile dzia\u0142a, to pytany zawsze b\u0119dzie pierwszy serwer, i tak jest ok, bileciki kerberosa s\u0105 przechowywane per w\u0119ze\u0142 klastra (mimo, \u017ce baza jest wsp\u00f3\u0142dzielona), wi\u0119c lepiej aby by\u0142y w jednym miejscu (inaczej po przeskoku trzeba b\u0119dzie wygenerowa\u0107 nowy ticket). Je\u015bli chodzi o konfiguracj\u0119 SSH w CentOS 7 to nie trzeba nic robi\u0107, tak skonfigurowany system pozwoli wykona\u0107 pe\u0142n\u0105 sekwencj\u0119:<\/p>\n yum install nss-pam-ldapd pam_krb5 krb5-workstation openldap-clients cyrus-sasl-gssapi<\/p>\n I wkopiowa\u0107 (z w\u0119z\u0142a klastra) pliki \/etc\/openldap\/ldap.conf \/etc\/krb5.conf \/etc\/nslcd.conf i ca.crt wkopiowa\u0107 do \/etc\/openldap\/certs i cacerts<\/p>\n I na koniec TIP:<\/p>\n Taki komunikat: bdb_equality_candidates: (uid) not indexed wskazuje na brak potrzebnego indeksu (w nawiasie b\u0119dzie podany parametr).<\/p>\n Aby za\u0142o\u017cy\u0107 index tworzymy plik LDIF (wgrywamy standardowo, ldapmodify):<\/p>\n dn: olcDatabase={2}hdb,cn=config I to by by\u0142o na tyle, post wyszed\u0142 bardzo d\u0142ugi, ale wyczerpuje temat maksymalnie jak si\u0119 da\u0142o, je\u015bli kto\u015b ma wi\u0119ksze do\u015bwiadczenie w temacie i chcia\u0142by co\u015b podpowiedzie\u0107 to zach\u0119cam do komentowania.<\/p>\n Dzisiaj zajmiemy si\u0119 kerberyzacj\u0105 LDAP, brzmi to troch\u0119 dziwnie, ale sprowadza si\u0119 do zainstalowania i skonfigurowania klastra sk\u0142adaj\u0105cego si\u0119 z wielu w\u0119z\u0142\u00f3w (N+) dzia\u0142aj\u0105cego w trybie aktywnym. Klaster ten b\u0119dzie serwowa\u0142 us\u0142ugi LDAP i Kerberos dla system\u00f3w Linuks. Baza danych … Continue reading
\nSLAPD_LDAPS=yes<\/strong><\/span><\/p>\n
\ndaily
\nrotate 10
\nmissingok
\nnotifempty
\nsharedscripts
\npostrotate
\n\/bin\/kill -HUP `cat \/var\/run\/rsyslogd.pid 2> \/dev\/null` 2> \/dev\/null || true
\nendscript
\n}<\/strong><\/span><\/p>\n
\ncp \/usr\/share\/openldap-servers\/DB_CONFIG.example \/var\/lib\/ldap\/DB_CONFIG
\nchown ldap:ldap \/var\/lib\/ldap\/DB_CONFIG<\/strong><\/span><\/p>\n
\nURI\u00a0\u00a0\u00a0\u00a0 ldap:\/\/hdc1.hdfs.lab ldaps:\/\/hdc1.hdfs.lab\u00a0\u00a0\u00a0\u00a0\u00a0 #(i odpowiednio dla hdc2.hdfs.lab)<\/strong><\/span><\/p>\n
\nTLS_CACERT\u00a0\u00a0\u00a0\u00a0\u00a0 \/etc\/openldap\/certs\/ca.crt
\nTLS_REQCERT\u00a0\u00a0\u00a0 allow
\nSASL_NOCANON\u00a0\u00a0\u00a0 on<\/strong><\/span><\/p>\n
\n
\ndn: cn=module,cn=config
\nobjectClass: olcModuleList
\ncn: module
\nolcModulePath: \/usr\/lib64\/openldap
\nolcModuleLoad: syncprov.la<\/strong><\/span><\/p>\n
\n
\ndn: cn=config
\nchangetype: modify
\nadd: olcServerID
\nolcServerID: 1<\/strong><\/span><\/p>\n<\/a><\/p>\n
\n
\ndn: olcDatabase={0}config,cn=config
\nadd: olcRootPW
\nolcRootPW: {SSHA}AyqlgqpsP6ITRWdZlqDBMWj\/rP\/Xy20W<\/strong><\/span><\/p>\n
\n
\ndn: cn=config
\nchangetype: modify
\nreplace: olcTLSCertificateKeyFile
\nolcTLSCertificateKeyFile: \/etc\/openldap\/certs\/dc.key
\n–
\nreplace: olcTLSCertificateFile
\nolcTLSCertificateFile: \/etc\/openldap\/certs\/dc.crt
\n–
\nreplace: olcTLSCACertificateFile
\nolcTLSCACertificateFile: \/etc\/openldap\/certs\/ca.crt
\n–
\nreplace: olcTLSCipherSuite
\nolcTLSCipherSuite: TLSv1+RSA:!EXPORT:!NULL
\n–
\nreplace: olcTLSVerifyClient
\nolcTLSVerifyClient: never<\/strong><\/span><\/p>\n
\n
\ndn: cn=config
\nchangetype: modify
\nreplace: olcServerID
\nolcServerID: 1 ldaps:\/\/hdc1.hdfs.lab
\nolcServerID: 2 ldaps:\/\/hdc2.hdfs.lab<\/strong><\/span><\/p>\n
\nchangetype: add
\nobjectClass: olcOverlayConfig
\nobjectClass: olcSyncProvConfig
\nolcOverlay: syncprov<\/strong><\/span><\/p>\n
\nchangetype: modify
\nadd: olcSyncRepl
\nolcSyncRepl: rid=001 provider=ldaps:\/\/hdc1.hdfs.lab binddn=”cn=config”
\nbindmethod=simple credentials=”XXXXX” searchbase=”cn=config”
\ntype=refreshAndPersist retry=”5 5 300 5″ timeout=1
\nolcSyncRepl: rid=002 provider=ldaps:\/\/hdc2.hdfs.lab binddn=”cn=config”
\nbindmethod=simple credentials=”XXXXX” searchbase=”cn=config”
\ntype=refreshAndPersist retry=”5 5 300 5″ timeout=1
\n–
\nadd: olcMirrorMode
\nolcMirrorMode: TRUE<\/strong><\/span><\/p>\n<\/a>W logu zobaczymy prawid\u0142owe po\u0142\u0105czenia mi\u0119dzy serwerami (dane jeszcze nie s\u0105 replikowane, tylko konfiguracja).<\/p>\n<\/a><\/p>\n
\n
\ndn: olcOverlay=syncprov,olcDatabase={2}hdb,cn=config
\nchangetype: add
\nobjectClass: olcOverlayConfig
\nobjectClass: olcSyncProvConfig
\nolcOverlay: syncprov<\/strong><\/span><\/p>\n
\n
\ndn: olcDatabase={2}hdb,cn=config
\nchangetype: modify
\nreplace: olcSuffix
\nolcSuffix: dc=hdfs,dc=lab
\n–
\nreplace: olcRootDN
\nolcRootDN: cn=ldapadm,dc=hdfs,dc=lab
\n–
\nreplace: olcRootPW
\nolcRootPW: {SSHA}AyqlgqpsP6ITRWdZlqDBMWj\/rP\/Xy20W
\n–
\nadd: olcSyncRepl
\nolcSyncRepl: rid=004 provider=ldaps:\/\/hdc1.hdfs.lab binddn=”cn=ldapadm,dc=hdfs,dc=lab” bindmethod=simple
\ncredentials=”XXXXX” searchbase=”dc=hdfs,dc=lab” type=refreshOnly
\ninterval=00:00:00:10 retry=”5 5 300 5″ timeout=1
\nolcSyncRepl: rid=005 provider=ldaps:\/\/hdc2.hdfs.lab binddn=”cn=ldapadm,dc=hdfs,dc=lab” bindmethod=simple
\ncredentials=”XXXXX” searchbase=”dc=hdfs,dc=lab” type=refreshOnly
\ninterval=00:00:00:10 retry=”5 5 300 5″ timeout=1
\n–
\nadd: olcDbIndex
\nolcDbIndex: entryUUID\u00a0 eq
\n–
\nadd: olcDbIndex
\nolcDbIndex: entryCSN\u00a0 eq
\n–
\nadd: olcMirrorMode
\nolcMirrorMode: TRUE<\/strong><\/span><\/p>\n<\/a>Widzimy, \u017ce replikacja idzie zaszyfrowanym kana\u0142em (TLS).<\/p>\n<\/a>Podstawowa konfiguracja klastra OpenLDAP za nami, teraz skonfigurujemy domen\u0119 oraz wszystko to co jest nam potrzebne.<\/p>\n
\n
\ndn: olcDatabase={1}monitor,cn=config
\nchangetype: modify
\nreplace: olcAccess
\nolcAccess: {0}to * by dn.base=”gidNumber=0+uidNumber=0,cn=peercred,cn=external, cn=auth” read by dn.base=”cn=ldapadm,dc=hdfs,dc=lab” read by * none<\/strong><\/span><\/p>\n<\/a><\/p>\n
\n
\ndn: dc=hdfs,dc=lab
\ndc: hdfs
\nobjectClass: top
\nobjectClass: domain<\/strong><\/span><\/p>\n
\nobjectClass: organizationalRole
\ncn: ldapadm
\ndescription: LDAP Manager<\/strong><\/span><\/p>\n
\nobjectClass: organizationalUnit
\nou: Users<\/strong><\/span><\/p>\n
\nobjectClass: organizationalUnit
\nou: Groups<\/strong><\/span><\/p>\n
\nobjectClass: organizationalUnit
\nou: Groups<\/strong><\/span><\/p>\n
\n
\ndn: cn=module,cn=config
\ncn: module
\nobjectclass: olcModuleList
\nobjectclass: top
\nolcmoduleload: memberof.la
\nolcmodulepath: \/usr\/lib64\/openldap<\/strong><\/span><\/p>\n
\nobjectClass: olcConfig
\nobjectClass: olcMemberOf
\nobjectClass: olcOverlayConfig
\nobjectClass: top
\nolcOverlay: memberof<\/strong><\/span><\/p>\n
\ncn: module
\nobjectclass: olcModuleList
\nobjectclass: top
\nolcmoduleload: refint.la
\nolcmodulepath: \/usr\/lib64\/openldap<\/strong><\/span><\/p>\n
\nobjectClass: olcConfig
\nobjectClass: olcOverlayConfig
\nobjectClass: olcRefintConfig
\nobjectClass: top
\nolcOverlay: {1}refint
\nolcRefintAttribute: memberof member manager owner<\/strong><\/span><\/p>\n<\/a>Od tego momentu mamy funkcjonalny klaster OpenLDAP z pe\u0142n\u0105 synchronizacj\u0105 danych. W kolejnych krokach przejdziemy do konfiguracji Kerberos.<\/p>\n
\nmkdir \/tmp\/ldap-kerberos\/
\necho „include \/etc\/openldap\/schema\/kerberos.schema” > \/tmp\/ldap-kerberos\/schema_convert.conf
\nmkdir \/tmp\/ldap-kerberos\/krb5_ldif
\nslaptest -f \/tmp\/ldap-kerberos\/schema_convert.conf -F \/tmp\/ldap-kerberos\/krb5_ldif<\/strong><\/span><\/p>\n
\nFILE=\/root\/ldap\/11_kerberos.ldif
\nsed -i „s@dn: cn={0}kerberos.*@dn: cn=kerberos,cn=schema,cn=config@g” ${FILE}
\nsed -i „s@cn: {0}kerberos.*@cn: kerberos@g” ${FILE}
\nsed -i '\/structuralObjectClass: \/d’ ${FILE}
\nsed -i '\/creatorsName: cn=config\/d’ ${FILE}
\nsed -i '\/modifiersName: cn=config\/d’ ${FILE}
\nsed -i '\/createTimestamp: \/d’ ${FILE}
\nsed -i '\/modifyTimestamp: \/d’ ${FILE}
\nsed -i '\/entryUUID: \/d’ ${FILE}
\nsed -i '\/entryCSN: \/d’ ${FILE}<\/strong><\/span><\/p>\n<\/a>Na koniec tworzymy dwunasty plik LDIF (zawieraj\u0105cy definicje indeks\u00f3w):<\/p>\n
\n
\ndn: olcDatabase={2}hdb,cn=config
\nchangetype: modify
\nadd: olcDbIndex
\nolcDbIndex: uid eq
\n–
\nadd: olcDbIndex
\nolcDbIndex: member eq
\n–
\nadd: olcDbIndex
\nolcDbIndex: dc eq
\n–
\nadd: olcDbIndex
\nolcDbIndex: uidNumber eq
\n–
\nadd: olcDbIndex
\nolcDbIndex: gidNumber eq
\n–
\nadd: olcDbIndex
\nolcDbIndex: memberUid eq
\n–
\nadd: olcDbIndex
\nolcDbIndex: uniqueMember eq
\n–
\nadd: olcDbIndex
\nolcDbIndex: krbPrincipalName eq,pres,sub
\n–
\nadd: olcDbIndex
\nolcDbIndex: krbPwdPolicyReference eq<\/strong><\/span><\/p>\n
\ndefault = FILE:\/var\/log\/kerberos\/krb5libs.log
\nkdc = FILE:\/var\/log\/kerberos\/krb5kdc.log
\nadmin_server = FILE:\/var\/log\/kerberos\/kadmind.log<\/strong><\/span><\/p>\n
\ndns_lookup_realm = false
\nticket_lifetime = 24h
\nrenew_lifetime = 7d
\nforwardable = true
\nrdns = false
\nproxiable = true
\npkinit_anchors = \/etc\/openldap\/certs\/ca.crt
\nudp_preference_limit = 1
\ndefault_realm = HDFS.LAB
\ndefault_ccache_name = KEYRING:persistent:%{uid}<\/strong><\/span><\/p>\n
\nHDFS.LAB = {
\nadmin_server = hdc1.hdfs.lab
\nkdc = hdc1.hdfs.lab
\nkdc = hdc2.hdfs.lab
\ndatabase_module = openldap_ldapconf
\n}<\/strong><\/span><\/p>\n
\nldap_kerberos_container_dn = cn=Kerberos,dc=hdfs,dc=lab<\/strong><\/span><\/p>\n
\npam = {
\ndebug = false
\nticket_lifetime = 3600
\nrenew_lifetime = 3600
\nforwardable = true
\nkrb4_convert = false
\n}<\/strong><\/span><\/p>\n
\nopenldap_ldapconf = {
\ndb_library = kldap
\nldap_kdc_dn = „cn=ldapadm,dc=hdfs,dc=lab”
\nldap_kadmind_dn = „cn=ldapadm,dc=hdfs,dc=lab”
\nldap_service_password_file = \/var\/kerberos\/krb5kdc\/service.keyfile
\nldap_servers = ldaps:\/\/hdc1.hdfs.lab ldaps:\/\/hdc2.hdfs.lab
\nldap_conns_per_server = 5
\n}<\/strong><\/span><\/p>\n
\n.hdfs.lab = HDFS.LAB
\nhdfs.lab = HDFS.LAB<\/strong><\/span><\/p>\n
\nkdc_ports = 88
\nkdc_tcp_ports = 88<\/strong><\/span><\/p>\n
\nHDFS.LAB = {
\nmax_life = 12h 0m 0s
\nmax_renewable_life = 7d 0h 0m 0s
\nmaster_key_type = aes256-cts
\nacl_file = \/var\/kerberos\/krb5kdc\/kadm5.acl
\ndict_file = \/usr\/share\/dict\/words
\nadmin_keytab = \/var\/kerberos\/krb5kdc\/kadm5.keytab
\nsupported_enctypes = aes256-cts:normal aes128-cts:normal des3-hmac-sha1:normal arcfour-hmac:normal camellia256-cts:normal camellia128-cts:normal des-hmac-sha1:normal des-cbc-md5:normal des-cbc-crc:normal
\n}<\/strong><\/span><\/p>\n<\/a>Podajemy has\u0142o dla bazy kerberosa i\u2026 mamy to! Pozostaje skopiowa\u0107 klucz g\u0142\u00f3wny z has\u0142em do bazy kerberosa na drugi w\u0119ze\u0142:<\/p>\n<\/a><\/p>\n<\/a><\/p>\n<\/a><\/p>\n<\/a><\/p>\n<\/a><\/p>\n
\n
\nuid nslcd
\ngid ldap<\/strong><\/span><\/p>\n
\ntimelimit 30
\nidle_timelimit 3600<\/strong><\/span><\/p>\n
\ntls_reqcert demand
\ntls_cacertdir \/etc\/openldap\/cacerts
\ntls_cacertfile \/etc\/openldap\/cacerts\/ca.crt\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 # To jest ten sam plik co w \/etc\/openldap\/certs\/ca.crt
\ntls_ciphers HIGH:TLSv1.2:!aNULL:!eNULL<\/strong><\/span><\/p>\n<\/a><\/p>\n
\n
\ndn: cn=config
\nchangetype: modify
\nadd: olcAuthzRegexp
\nolcAuthzRegexp: uid=([^,]+),cn=hdfs.lab,cn=gssapi,cn=auth
\nuid=$1,ou=Users,dc=hdfs,dc=lab
\n–
\nadd: olcSaslSecProps
\nolcSaslSecProps: noanonymous,noplain
\n–
\nadd: olcSaslRealm
\nolcSaslRealm: HDFS.LAB<\/strong><\/span><\/p>\n
\n
\nBASE dc=hdfs,dc=lab
\nURI ldaps:\/\/hdc1.hdfs.lab ldaps:\/\/hdc2.hdfs.lab<\/strong><\/span><\/p>\n
\nTLS_CACERT\u00a0\u00a0\u00a0\u00a0\u00a0 \/etc\/openldap\/cacerts\/ca.crt
\nTLS_REQCERT\u00a0\u00a0\u00a0\u00a0 allow<\/strong><\/span><\/p>\n
\nSASL_MECH\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 GSSAPI
\nSASL_REALM\u00a0\u00a0\u00a0\u00a0\u00a0 HDFS.LAB<\/strong><\/span><\/p>\n<\/a>I to ju\u017c w\u0142a\u015bciwie koniec, pozostaje przygotowanie klienta kt\u00f3ry nie jest serwerem, w takim przypadku instalujemy nast\u0119puj\u0105ce pakiety:<\/p>\n
\nadd: olcDbIndex
\nolcDbIndex: uid eq<\/p>\n