5 votes

Condla avatar

Kerberos avec backend OpenLDAP : HowTo sur la synchronisation des mots de passe

Demandé el 2 de Décembre, 2015
Quand la question a-t-elle été
3774 affichage
Nombre de visites la question a
4 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

La configuration de base est un serveur OpenLDAP. Les utilisateurs sont provisionnés et les mots de passe sont définis. Maintenant nous avons décidé d'ajouter un MIT KDC pour pouvoir utiliser Kerberos. Nous avons configuré le MIT KDC pour utiliser le LDAP comme backend pour la base de données du KDC. Nous créons des principals et les lions avec la commande suivante aux utilisateurs LDAP existants :

addprinc -x dn=cn=test.user,ou=people,dc=example,dc=com test.user

Le problème est que cela demande un nouveau mot de passe, conduisant à deux mots de passe différents lors de l'obtention de tickets Kerberos et de l'exécution de liaisons LDAP.

Existe-t-il un moyen de synchroniser ces mots de passe ? Par exemple, lorsque les utilisateurs changent leur mot de passe avec kpasswd, je veux que le mot de passe LDAP change également. Et lorsque les utilisateurs changent leur mot de passe avec ldappasswd, vice versa.

Quelqu'un a un guide pour cela ? Je n'arrive pas à trouver quoi que ce soit sur Internet.

Demandé el 2 de Décembre, 2015 par Condla

Réponses

Trop de publicités?

3voto

84104 avatar
84104 Points 12538

Vous ne devriez pas synchroniser les mots de passe. Vous devriez utiliser Authentification SASL passthrough . Votre userPassword doit être de la forme {SASL}username@REALM .

Répondu el 4 de Décembre, 2015 par 84104 (12538 Points )

1voto

Maren Abatielos avatar
Maren Abatielos Points 46

Si vous avez la possibilité de ne pas tout construire à partir de zéro, je peux vous recommander Univention Corporate Server (UCS). C'est un système d'exploitation libre, basé sur Debian, de niveau entreprise, qui fonctionne bien comme gestion de domaine / d'identité pour les environnements hétérogènes, y compris l'authentification via OpenLDAP et Kerberos (Heimdal par défaut, Samba AD en option). Les modules de synchronisation et de superposition nécessaires sont intégrés. Vous pouvez installer le SCU très rapidement via Site web d'Univention . Le site Site web des Unixmen a également publié récemment un bon tutoriel d'installation succinct sur le SCU.

Répondu el 4 de Janvier, 2016 par Maren Abatielos (46 Points )

0voto

473183469 avatar
473183469 Points 1340

Vous êtes à la recherche de smbkrb5pwd superposition ?

Si vous en êtes à un stade initial, j'évaluerais Heimdal Kerberos, qui stocke les données krb directement dans la saisie des données de l'utilisateur et pour lequel il existe une surcouche de synchronisation officielle et bien supportée : smbk5pwd.

Répondu el 3 de Décembre, 2015 par 473183469 (1340 Points )

-2voto

Daniel PC avatar
Daniel PC Points 86

Oui, vous pouvez les synchroniser.

Jetez un coup d'oeil à ça :

http://raerek.blogspot.it/2012/08/kerberos-with-ldap-backend-on-ubuntu.html

Répondu el 17 de Avril, 2018 par Daniel PC (86 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X