是否可以配置 LDAP 以接受来自 ssh-agent 而不是 Kerberos 的身份验证?

是否可以配置 LDAP 以接受来自 ssh-agent 而不是 Kerberos 的身份验证?

[这个问题不是关于获取您的 LDAP 密码来验证您的 SSH 登录。我们做得很好,谢谢 :-) ]

假设您在 Linux 网络上(Ubuntu 11.10,slapd 2.4.23),并且需要编写一组将使用 ldapmodify、ldapadd、ldapdelete 等的实用程序。您没有 Kerberos,并且不想处理它的超时(大多数用户不知道如何解决这个问题)、怪癖等。这解决了从哪里获取凭据以提供给 LDAP 的问题,可能是通过 GSSAPI - 从技术上讲,它不需要 Kerberos,尽管它在那里占主导地位 - 或者类似的东西。

但是,几乎每个人都有一个 SSH 代理程序,并配有密钥缓存。我真的很希望 ssh-add 足以允许无密码使用 LDAP 命令。

有谁知道有哪个项目致力于使用 SSH 代理作为 LDAP 身份验证的来源?它可能是通过 ssh 感知的 GSSAPI 层,或者一些我还没有想到的技巧。但它对于让 LDAP 变得轻松来说非常棒。假设我没有完全错过一种无需输入 LDAP 密码即可使用 ldapmodify 和 kin 的方法 - 使用 -x 是不可接受的。

在我的站点上,LDAP 服务器仅接受 ldaps 连接,并且需要对修改操作进行身份验证。当然,这些都是要求。

答案1

OpenLDAP 使用 SASL 进行身份验证。SASL 无法理解 ssh-keys。

但是,SASL 确实有 TLS 库挂钩。你应该能够使用SASL 外部 TLS客户端证书。您可能还必须修改您的 ACL 或您的身份验证映射

在 Kerberos 上:
- 如果您所说的超时是指时钟偏差,那么这就是 NTP 的用途。
- 如果您指的是票证过期,那么您需要使用启动

相关内容