基本设置是 OpenLDAP 服务器。用户已配置,密码已设置。现在我们决定添加 MIT KDC 以便能够使用 Kerberos。我们配置了 MIT KDC 以利用 LDAP 作为 KDC 数据库的后端。我们创建主体并使用以下命令将它们链接到现有 LDAP 用户:
addprinc -x dn=cn=test.user,ou=people,dc=example,dc=com test.user
问题是,这会提示输入新密码,从而导致在获取 Kerberos 票证和执行 LDAP 绑定时输入两个不同的密码。
有没有办法同步这些密码?例如,当用户使用 kpasswd 更改密码时,我希望 LDAP 密码也随之更改。当用户使用 ldappasswd 更改密码时,反之亦然。
有人有这方面的指南吗?我在网上好像找不到任何东西。
答案1
你不应该同步密码。你应该使用SASL 直通身份验证. 您的userPassword格式应为{SASL}username@REALM。
答案2
如果您不想从头开始构建所有内容,我推荐 Univention Corporate Server (UCS)。这是一款免费的、基于 Debian 的企业级操作系统,可很好地用作异构环境的域/身份管理,包括通过 OpenLDAP 和 Kerberos(默认为 Heimdal,可选为 Samba AD)进行身份验证。所需的同步和覆盖模块是内置的。您可以通过以下方式快速安装 UCSUnivention 的网站。 这Unixmen 网站最近还发布了一个关于 UCS 的很好的简短安装教程。
答案3
您是否正在寻找smbkrb5pwd覆盖?
如果您处于初始阶段,我会评估 Heimdal Kerberos,它将 krb 数据直接存储在用户数据条目中,并且存在官方且相当受支持的同步覆盖:smbk5pwd。