问题很简单;有没有办法配置你的 ldap 服务器,使其只接受 kerberos 身份验证并拒绝任何其他类型。
我几乎 100% 确定这可以做到,我只是不知道如何做——毫无疑问是配置文件中的某些东西。
干杯
答案1
您可以尝试在配置中使用 require 选项,或者使用 ldif 格式的 olcRequires。
根据文档,对于要求
指定一组需要的条件(以空格分隔)(默认无)。该指令可以全局指定和/或按数据库指定;数据库继承全局条件,因此按数据库指定的规范是附加的。 绑定 要求在目录操作之前进行绑定操作。 LDAPv3要求会话使用 LDAP 版本 3。 认证目录操作之前需要身份验证。 SAS 连接层目录操作之前需要 SASL 身份验证。 强的 目录操作前需要强身份验证。strong 关键字允许受保护的“简单”身份验证以及 SASL 身份验证。 没有任何可用于不需要任何条件(有助于清除特定数据库内的全局设置条件);它必须出现在条件列表中的第一位。
以及olcRequires
指定一组需要的条件(默认无)。该指令可以全局指定和/或按数据库指定;数据库继承全局条件,因此按数据库指定的规范是附加的。 绑定 要求在目录操作之前进行绑定操作。 LDAPv3要求会话使用 LDAP 版本 3。 认证目录操作之前需要身份验证。 SAS 连接层 目录操作之前需要 SASL 身份验证。 强的 目录操作前需要强身份验证。strong 关键字允许受保护的“简单”身份验证以及 SASL 身份验证。 没有任何可用于不需要任何条件(有助于清除特定数据库内的全局设置条件);它必须出现在条件列表中的第一位。
SASL 就是您在这里所需要的,因为 Kerberos v5 实现了 GSSAPI。
除此之外,我无法告诉您,因为我不知道任何限制 LDAP 服务器中允许的身份验证类型的配置。