LDAP Authbinds mit Kerberos, SASL und SSO

Maximilian Wilhelm max at rfc2324.org
Thu Nov 27 16:52:42 CET 2008


Moin!

Ich stehe gerade ein wenig auf dem Schlauch bzw. finde scheinbar das
passende Puzzleteil nicht.

Ich habe einen OpenLDAP-Server, der unsere Benutzerdatenbank vorhält, mit
Ausnahme der Passwörter. Diese sind in einem MIT-Kerberos-REALM
gespeichert. Soweit alles gut.

Nun habe ich dem LDAP-Server gesagt, dass es bitte GSSAPI/SASL
Authentifikation für die User unterstützen soll, damit wir Admins
direkt auf einige Dinge schreiben können, wenn wir ein Kerberos-Ticket
haben.
Das klappt auch wunderbar.

Jetzt möchte ich noch, dass der LDAP-Server Authbinds, die er ohne
Kenntniss der Passwörter ja nicht selbst beantworten kann, an den
Kerberos-REALM weiterreicht.

Das geht wohl prinzipiell mittels des saslauthd, wenn ich die
OpenLDAP-Doku richtig verstanden habe.
Einen saslauthd dazu zu bewegen, dass er gegen Kerberos
authentifiziert ist auch trivial.

Nun muss man in der userPassword-Feld der Benutzer noch
 {SASL}<user>@<REALM>
reinschreiben und dem LDAP-Server sagen, dass er den saslauthd
befragen soll.

Beim letzten Teil konnte ich nur nicht rausfinden, wo man die
Konfiguration für den saslauthd unter Debian ablegen muss, damit er
sie beachtet. Bei google findet man einige Leute, die scheinbar vor
genau dem selben Problem stehen, jedoch keine Lösung dazu

Hat das schonmal wer gemacht bzw. kann mir wer sagen, wo die
'slapd.conf'-Datei für saslauthd unter Debian hin muss?

Merci
Ciao
Max
-- 
	Follow the white penguin.



More information about the Linux mailing list