pesadelo OpenLDAP + Kerberos

Navegue suas respostas
0

Portanto, nas últimas semanas, tenho configurado uma solução de SSO para a nossa pequena empresa. Agora eu tenho um servidor rodando o OpenLDAP 2.4.4 com o kerberos (openldap backend). Os usuários podem efetuar login e obter um ticket do krb, também usando o SASL. Eu posso conectar aplicativos da web ao LDAP que será autenticado com o kerberos (o atributo userPassword é {SASL}[email protected]).

Tudo foi ótimo, até que precisávamos de um aplicativo da web para autoatendimento do usuário (ativação da primeira conta, redefinição de senha, etc ...), depois de procurar por algumas soluções, encontrei o PWM ( link ), depois de configurar o PWM notei algo, ao tentar alterar uma senha PWM com tentativa de escrever no atributo" userPassword ", mas esse atributo apenas apontar OpenLDAP para autenticar com kerberos. Depois de pesquisar mais, não consegui encontrar nenhum aplicativo da Web que suporte a administração de ldap com autenticação kerberos, ou seja, um aplicativo que alterará a senha do kerberos e não o atributo "userPassword" no OpenLDAP. Então eu mudei "userPassword" para manter a senha real, e com smbkrb4pwd eu posso sincronizar as senhas no LDAP e kerberos. Ótimo, porém, mas depois percebi que, se eu alterar a senha no kerberos, a senha no LDAP não mudará, somente se eu alterá-lo no LDAP, em seguida, o smbkrb4pwd irá atualizá-lo no kerberos. suspiro, não há problema, vou apenas configurar o PAM para usar o ldap para "passwd".

E hoje eu comecei a configurar políticas de senha, depois de terminar a política no LDAP eu descobri que preciso criar um separado no kerberos, não é possível usar o mesmo no LDAP? bem. Assim, as duas políticas de senha estavam funcionando bem, as contas estão sendo bloqueadas após X tentativas malsucedidas, ótimo, mas depois descubro que, se eu bloquear minha conta no OpenLDAP, ainda posso tentar autenticar no kerberos.

Então, aqui estou eu, totalmente perdido em como continuar. Existe algum aplicativo WEB que saiba como alterar senhas no Kerberos? Como posso sincronizar o bloqueio de conta no LDAP e no kerberos?

    
por Alex Zel 19.09.2016 / 10:05

1 resposta

0

I couldn't find any web application that supports ldap administration with kerberos authentication, meaning an application that will change the kerberos password and not the "userPassword" attribute in OpenLDAP.

  • Veja esta pergunta , sobre o módulo de sobreposição para manter o samba LDAP e Senhas Kerberos em sincronia. Por exemplo, no Debian o pacote é chamado:

    "slapd-smbk5pwd - Mantém as senhas do Samba e do Kerberos sincronizadas dentro do slapd."

Is there any WEB application that knows how to change passwords in kerberos? How can I synchronize account lock in LDAP and kerberos?

  • Agora, há um aplicativo no Univention Corporate Server UCS que permite aos usuários alterar sua senha através de um módulo da Web. Uma distribuição do Linux que faz com que essas complexidades de autenticação funcionem imediatamente.

AVISO LEGAL: Eu trabalho para Univention =).

    
por 31.07.2017 / 18:23

Tags

Não é possível iniciar o Privoxy Pasta compartilhada do Windows 10: Acces Denied (estava funcionando antes)