我目前正在尝试建立一个集成的 Kerberos V/LDAP 系统来进行身份验证/授权。根据我收集到的信息,至少有两种方法可以将 Kerberos V 与 LDAP 集成:
- 使用 LDAP 作为后端来存储 Kerberos 主体
- 通过 GSSAPI 进行用户 Kerberos 和 SASL 身份验证,以向 LDAP 服务器进行身份验证(以便能够使用 Kerberos 票证查询和修改 LDAP 条目)
这两个选项并不相互排斥。问题是,我想混合两者:不仅使用 LDAP 来存储 Kerberos 主体,而且还要确保当我添加 Kerberos 主体时,它是用 来创建的,objectClass=posixAccount以便它显示为 Unix 用户条目出于授权目的向 NSS 发送。
换句话说,我只想在一个地方添加新的用户帐户(即。,kadmin服务器)而不是两个。这可能吗?如果是这样,怎么办?
如果有任何帮助,我正在 Debian Wheezy 上使用 OpenLDAP 和 MIT Kerberos。
答案1
由于没有人回答这个问题,而且我找不到现有的解决方案,所以我推出了我自己的解决方案在 Perl 中。该解决方案专门针对 Debian,因为这是我的目标环境。请随意分叉它并根据您的需要进行调整。
我们将非常感谢您对代码/编码风格的评论。请随意将其撕成碎片:我不是经过培训的开发人员,而且我对编写管理工具脚本相对较新。