No mundo dos termos LDAP / Kerberos, onde eu uso quais partes do domínio?

Navegue suas respostas
1

Eu tenho um nome de domínio. Vamos chamar example.com . Há um servidor - servidor A - que tem configuração de hospedagem nele e example.com configurado como nome de domínio. Significando, resolver exemplo.com , receberá o IP do servidor A .

Eu tenho outro servidor - servidor B - que é um servidor diferente. Está configurado como sub.example.com .

Eu quero sub.example.com para manter o subversion, usando o LDAP como o diretório do usuário.

Ao configurar o LDAP e o Kerberos, que partes do domínio eu uso em quais casos?
Significado, qual é o reino do kerberos? example.com ou sub.example.com ?
O que eu configuro no ldap dc parts? É dc=example,dc=com ou dc=sub,dc=example,dc=com ?

Para obter mais explicações sobre o que estou tentando fazer em detalhes, consulte Como configuro um servidor ldap no Ubuntu 11.04? (para uso com subversion e trac)

    
por Doron 04.05.2011 / 11:09

2 respostas

1

O território do Kerberos que você deseja usar deve ser example.com no seu caso. Você pode ir tão longe a ponto de criar kerb.example.com para o seu reino e alias example.com para ele nos servidores nos quais deseja usar o kerberos. O subdomínio deve conter todos os registros SRV relacionados ao Kerberos que você possa criar.

Para o seu servidor de hospedagem, recomendo strongmente a criação de outro registro A para o servidor de hospedagem (host1.example.com, por exemplo) e a configuração dos serviços de rede do servidor para considerar esse endereço principal. "example.com" ainda apontaria para isso, mas apenas por motivos de hospedagem na web. Caso contrário, você teria que apelidar ".COM" como um domínio de "EXAMPLE.COM" para serviços de rede hospedados no servidor de hospedagem, e isso poderia ter efeitos colaterais ruins.

A razão para isso é por causa de como o Kerberos descobre reinos. Um nome DNS é decodificado em um território, tomando o primeiro rótulo do nome DNS como o nome do host e qualquer rótulo depois disso como o domínio. Assim, "sub.example.com" pertenceria ao território EXAMPLE.COM e "example.com" pertenceria ao domínio ".COM". Ao nomear o servidor para fins de Kerberos com três rótulos de DNS, em vez de dois, é possível evitar a colocação de grandes partes da Internet em sua região do Kerberos.

Os aliases são definidos no arquivo /etc/krb5.conf

    
por 04.05.2011 / 13:38
1

Primeiro, LDAP! = Kerberos. Se você quiser usar o Kerberos para se comunicar com um domínio do Active Directory, que é o que eu suponho que você quer fazer, as dicas estão aqui a> ou por Pesquisando como configurar um cliente Kerberos para autenticar no AD . O LDAP é diferente, e você realmente precisa dar muito mais detalhes para saber o que você deseja configurar em qual plataforma. Eu suponho que seja Unix ou Linux, mas uma versão muito específica e que tipo de autenticação (console, GUI, proxy web do Squid) está em ordem.

    
por 04.05.2011 / 11:28

Tags

Como posso atualizar os cabeçalhos personalizados de HTTP no IIS6 usando o Powershell? O Apache Tomcat não inicia no servidor Linux