OpenLDAP + Kerberos ฝันร้าย


0

ดังนั้นในช่วงสองสามสัปดาห์ที่ผ่านมาฉันได้กำหนดค่าโซลูชัน SSO สำหรับ บริษัท ขนาดเล็กของเรา ตอนนี้ฉันมีเซิร์ฟเวอร์ที่ใช้ OpenLDAP 2.4.4 พร้อม kerberos (openldap backend) ผู้ใช้สามารถเข้าสู่ระบบและรับตั๋วจาก krb ได้เช่นกันโดยใช้ SASL ฉันสามารถเชื่อมต่อเว็บแอปพลิเคชันกับ LDAP ที่จะตรวจสอบสิทธิ์ด้วย kerberos (แอตทริบิวต์ userPassword คือ {SASL}user_name@MY.DOMAIN)

ทุกอย่างยอดเยี่ยมจนกระทั่งเราต้องการเว็บแอปพลิเคชันสำหรับการบริการตนเองของผู้ใช้ (การเปิดใช้งานบัญชีครั้งแรกรีเซ็ตรหัสผ่าน ฯลฯ ... ) หลังจากหาโซลูชันบางอย่างที่ฉันพบ PWM ( https://github.com/pwm-project/pwm ) หลังจากตั้งค่า PWM ฉันสังเกตเห็นบางสิ่งเมื่อพยายามเปลี่ยนรหัสผ่าน PWM ด้วยความพยายามเขียนถึงแอตทริบิวต์ "userPassword" แต่แอตทริบิวต์นั้นเพิ่งชี้ OpenLDAP เพื่อรับรองความถูกต้องกับ kerberos หลังจากค้นหาเพิ่มเติมฉันไม่พบแอปพลิเคชันเว็บใด ๆ ที่สนับสนุนการดูแลระบบ ldap ด้วยการพิสูจน์ตัวตน kerberos หมายถึงแอปพลิเคชันที่จะเปลี่ยนรหัสผ่าน kerberos และไม่ใช่แอตทริบิวต์ "userPassword" ใน OpenLDAP ดังนั้นฉันจึงเปลี่ยน "userPassword" เพื่อเก็บรหัสผ่านจริงและด้วย smbkrb4pwd ฉันสามารถซิงโครไนซ์รหัสผ่านใน LDAP และ kerberos ยอดเยี่ยมฉัน แต่แล้วฉันรู้ว่าถ้าฉันเปลี่ยนรหัสผ่านใน kerberos รหัสผ่านใน LDAP จะไม่เปลี่ยนเฉพาะถ้าฉันเปลี่ยนใน LDAP แล้ว smbkrb4pwd จะอัปเดตใน kerberos ถอนหายใจไม่มีปัญหาฉันจะตั้ง PAM เพื่อใช้ ldap สำหรับ "passwd"

และวันนี้ฉันเริ่มตั้งค่านโยบายรหัสผ่านหลังจากทำนโยบายใน LDAP เสร็จฉันพบว่าฉันต้องสร้างแยกต่างหากใน Kerberos หนึ่งไม่สามารถใช้อันเดียวกันใน LDAP ได้หรือไม่ ละเอียด. ดังนั้นนโยบายรหัสผ่านทั้งสองทำงานได้ดีบัญชีถูกล็อคหลังจาก X ล้มเหลวพยายามดีมาก แต่แล้วฉันพบว่าถ้าฉันล็อคบัญชีของฉันใน OpenLDAP ฉันยังคงสามารถลองใช้และพิสูจน์ตัวตนใน Kerberos ได้

ดังนั้นที่นี่ฉันหลงทางในการดำเนินการต่อ มีแอปพลิเคชั่นเว็บใดบ้างที่รู้วิธีเปลี่ยนรหัสผ่านใน Kerberos? ฉันจะซิงโครไนซ์การล็อกบัญชีใน LDAP และ kerberos ได้อย่างไร

คำตอบ:


0

ฉันไม่พบแอปพลิเคชันเว็บใด ๆ ที่สนับสนุนการดูแลระบบ ldap ด้วยการรับรองความถูกต้องของ kerberos หมายถึงแอปพลิเคชันที่จะเปลี่ยนรหัสผ่าน kerberos และไม่ใช่แอตทริบิวต์

  • ดู คำถามนี้ เกี่ยวกับโมดูลโอเวอร์เลย์เพื่อให้แซมบ้า LDAP และรหัสผ่าน Kerberos ซิงค์กัน เช่นในเดเบียนแพ็คเกจเรียกว่า:

    "slapd-smbk5pwd - เก็บรหัสผ่านของ Samba และ Kerberos ไว้ในซิงค์ภายใน slapd"

มีแอปพลิเคชั่นเว็บใดบ้างที่รู้วิธีเปลี่ยนรหัสผ่านใน Kerberos? ฉันจะซิงโครไนซ์การล็อกบัญชีใน LDAP และ kerberos ได้อย่างไร

  • ตอนนี้มี App ใน Univention corporate Server UCS ที่ให้ผู้ใช้สามารถเปลี่ยนรหัสผ่านของตนผ่านทางเว็บโมดูล ลินุกซ์ distro ที่ทำให้ความซับซ้อนของการรับรองความถูกต้องสามารถใช้งานได้ทันที

การปฏิเสธความรับผิด: ฉันทำงานให้กับ Univention =)

โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.