我正在学习使用 openldap 作为 kerberos 凭证的后端数据库。所有程序都使用单点登录,这很好。
问题是 - 我可以从 kadmin 命令提示符管理用户,但没有其他方法可以做到这一点。
问题
1. 是否有任何第三方 GUI 用于管理 kerberos 数据?
2. 我们可以从任何 Openldap 客户端(如 apache directory studio 或 ldapadmin)创建新的 kerberos 主体吗?
答案1
尝试 Red Hat 的身份管理服务。它是 LDAP 和 Kerberos 捆绑在一起的。它是开源的,有一个 Web 界面,但我不确定这个界面有多广泛。如果没有别的,CLI 文档可能更完整。
开源版本: http://directory.fedoraproject.org/wiki/Main_Page Red Hat 版本: https://access.redhat.com/site/documentation/Red_Hat_Directory_Server/
答案2
这很有趣。我认为一般来说,没有任何适用于 LDAP 的良好通用用户管理 GUI,更不用说 LDAP 和 kerberos 了。特定产品有特定工具。
我认为问题在于大多数组织以不同的方式管理其用户帐户。
我最终编写了自己的帐户创建脚本,以在 LDAP 中创建用户和组、在 kerberos 中创建主体、在 NFS 服务器上创建主目录、将 autofs 条目添加到 LDAP 等。