Você não deve sincronizar as senhas. Você deve usar a autenticação de passagem SASL . Seu userPassword
deve estar no formato {SASL}username@REALM
.
A configuração básica é um servidor OpenLDAP. Os usuários são provisionados e as senhas são configuradas. Agora decidimos adicionar um KDC do MIT para poder usar o Kerberos. Nós configuramos o KDC do MIT para utilizar o LDAP como um back-end para o banco de dados do KDC. Nós criamos os principais e os vinculamos com o seguinte comando aos usuários LDAP existentes:
addprinc -x dn=cn=test.user,ou=people,dc=example,dc=com test.user
O problema é que isso solicita uma nova senha, levando duas senhas diferentes ao obter tickets do Kerberos e realizar ligações LDAP.
Existe uma maneira de sincronizar essas senhas? Ou seja, quando os usuários mudam suas senhas com o kpasswd, eu também quero que a senha LDAP seja alterada. E quando os usuários mudam sua senha com ldappasswd, vice-versa.
Alguém tem um guia para isso? Não consigo encontrar nada na internet.
Você não deve sincronizar as senhas. Você deve usar a autenticação de passagem SASL . Seu userPassword
deve estar no formato {SASL}username@REALM
.
se for uma opção para você não construir tudo do zero, posso recomendar o Univention Corporate Server (UCS). É um sistema operacional gratuito, baseado em Debian, de nível empresarial que funciona bem como gerenciamento de domínio / identidade para ambientes heterogêneos, incluindo autenticação via OpenLDAP e Kerberos (padrão Heimdal, opcional Samba AD). Os módulos de sincronização e sobreposição necessários são integrados. Você pode instalar o UCS muito rapidamente através do site da Univention . O site do Unixmen também publicou recentemente um bom tutorial de instalação sobre o UCS.
Você está procurando a sobreposição smbkrb5pwd ?
Se você está em um estágio inicial, eu avaliaria o Heimdal Kerberos, que armazena dados krb diretamente na entrada de dados do usuário e para os quais existe uma sobreposição de sincronização oficial e bastante suportada: smbk5pwd.