OpenLDAP + Kerberos噩梦


0

因此,在过去的几周里,我一直在为我们的小公司配置SSO解决方案。 现在我有一台服务器运行OpenLDAP 2.4.4与kerberos(openldap后端)。 用户可以登录并从krb获取票证,也可以使用SASL我可以将Web应用程序连接到将使用kerberos进行身份验证的LDAP(userPassword属性为{SASL} user_name@MY.DOMAIN)。

一切都很棒,直到我们需要一个用户自助服务的Web应用程序(第一次激活帐户,密码重置等等),在寻找一些解决方案之后我找到了PWM( https://github.com/pwm-project/pwm ),在设置PWM之后我注意到了一些事情,当尝试更改密码PWM时尝试写入“userPassword”属性,但该属性只是指向OpenLDAP以使用kerberos进行身份验证。 在搜索了一些后,我找不到任何支持使用kerberos身份验证的ldap管理的Web应用程序,这意味着一个应用程序将更改kerberos密码而不是OpenLDAP中的“userPassword”属性。 所以我更改了“userPassword”以保存实际密码,并且使用smbkrb4pwd我可以同步LDAP和kerberos中的密码。 很棒我,但后来我意识到,如果我在kerberos中更改密码,LDAP中的密码将不会更改,只有我在LDAP中更改它,然后smbkrb4pwd将在kerberos中更新它。叹了口气,没问题,我只是配置PAM使用ldap作为“passwd”。

今天我开始设置密码策略,在完成LDAP中的策略后我发现我需要在kerberos中创建一个单独的策略,不能只在LDAP中使用相同的策略吗?精细。 因此,两个密码策略都运行正常,X尝试失败后帐户被锁定,很好,但后来我发现如果我在OpenLDAP中锁定我的帐户,我仍然可以尝试在kerberos中进行身份验证。

所以我在这里,完全迷失了如何继续。 是否有任何WEB应用程序知道如何更改kerberos中的密码? 如何在LDAP和kerberos中同步帐户锁定?

Answers:


0

我找不到任何支持使用kerberos身份验证进行ldap管理的Web应用程序,这意味着应用程序将更改kerberos密码而不是OpenLDAP中的“userPassword”属性。

  • 看到 这个问题 ,关于覆盖模块,以保持samba LDAP和Kerberos密码同步。例如在Debian中调用包:

    “slapd-smbk5pwd - 在slapd中保持Samba和Kerberos密码同步。”

是否有任何WEB应用程序知道如何更改kerberos中的密码?如何在LDAP和kerberos中同步帐户锁定?

  • 现在,有一个 应用 在Univention corporate Server UCS中,用户可以通过Web模块更改其密码。一个Linux发行版使这些身份验证的复杂性开箱即用。

免责声明:我为Univention工作=)。

By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.