Eu obtive o syncrepl com a autenticação do kerberos, trabalhando com a seguinte configuração. Este site sobre o nslcd.conf diz que authzid
deve estar no formato "dn: < nome distinto > ou "u: < nome do usuário >". Também usei o k5start para criar um arquivo de cache para someuser@REALM
at /tmp/krb5cc_55
e fiz chown ldap:ldap
. Note que 55 é o ldap uid; no entanto, não tenho certeza se é necessário nomear o arquivo para isso. Na configuração do meu provedor, eu especifiquei someuser
como rootdn
para permitir que ele tivesse acesso ao banco de dados inteiro.
Eu só quero esclarecer que isso é o que funcionou para mim, mas eu tenho uma compreensão limitada do ldap, então não posso garantir que funcionará em outro lugar, e não sei se tudo nesta configuração é necessário.
syncrepl rid=1
provider=ldap://provider.realm
type=refreshAndPersist
starttls=yes
searchbase="dc=realm"
schemachecking=off
retry="10 +"
tls_cacert="/path/to/ca.crt"
bindmethod=sasl
saslmech=gssapi
authcid="someuser@REALM"
authzid="uid=someuser,cn=realm,cn=gssapi,cn=auth"