Deshalb habe ich in den letzten Wochen eine SSO-Lösung für unser kleines Unternehmen konfiguriert. Momentan habe ich einen Server, auf dem OpenLDAP 2.4.4 mit Kerberos (openldap-Backend) ausgeführt wird. Benutzer können sich anmelden und ein Ticket von krb erhalten, auch mit SASL. Ich kann Webanwendungen mit LDAP verbinden, das sich mit Kerberos authentifiziert (das userPassword-Attribut ist user_name@MY.DOMAIN).
Alles war großartig, bis wir eine Webanwendung für den Benutzer-Self-Service (zum ersten Mal Kontoaktivierung, Zurücksetzen des Kennworts usw.) benötigten. Nachdem ich nach Lösungen gesucht hatte, fand ich PWM ( https://github.com/pwm-project) / pwm), nachdem ich PWM eingerichtet hatte, bemerkte ich etwas, als ich versuchte, ein Passwort zu ändern, mit dem Versuch, in das "userPassword" -Attribut zu schreiben, aber dieses Attribut weist OpenLDAP nur auf die Authentifizierung mit Kerberos hin. Nach einiger Suche konnte ich keine Webanwendung finden, die die ldap-Verwaltung mit Kerberos-Authentifizierung unterstützt. Dies bedeutet, dass eine Anwendung das Kerberos-Kennwort und nicht das Attribut "userPassword" in OpenLDAP ändert. Also habe ich "userPassword" geändert, um das eigentliche Passwort zu enthalten, und mit smbkrb4pwd kann ich die Passwörter in LDAP und Kerberos synchronisieren. Toll ich zwar, aber dann wurde mir klar, dass sich das Passwort in LDAP nicht ändert, wenn ich das Kennwort in Kerberos ändere. Nur wenn ich es in LDAP ändere, wird es von Smbkrb4pwd in Kerberos aktualisiert. Seufz, kein Problem, ich werde PAM so konfigurieren, dass ldap für "
Heute habe ich mit dem Einrichten von Kennwortrichtlinien begonnen. Nachdem ich die Richtlinien in LDAP abgeschlossen hatte, stellte ich fest, dass ich in Kerberos eine separate erstellen muss. Kann man nicht dieselbe in LDAP verwenden? fein. Beide Passwortrichtlinien funktionierten einwandfrei, Konten werden nach X fehlgeschlagenen Versuchen gesperrt, großartig, aber dann finde ich heraus, dass ich, wenn ich mein Konto in OpenLDAP sperre, immer noch versuchen kann, mich in Kerberos zu authentifizieren.
Also hier bin ich völlig verloren, wie ich weitermachen soll. Gibt es eine WEB-Anwendung, die weiß, wie man Passwörter in Kerberos ändert? Wie kann ich die Kontosperre in LDAP und Kerberos synchronisieren?
1 Antwort auf die Frage
0
uso
Ich konnte keine Webanwendung finden, die die ldap-Verwaltung mit Kerberos-Authentifizierung unterstützt. Dies bedeutet, dass eine Anwendung das Kerberos-Kennwort und nicht das Attribut "userPassword" in OpenLDAP ändert.
Siehe diese Frage zum Overlay-Modul, um Samba-LDAP- und Kerberos-Passwörter synchron zu halten. In Debian heißt das Paket zB:
"slapd-smbk5pwd - Samba- und Kerberos-Passwörter werden innerhalb von slapd synchronisiert."
Gibt es eine WEB-Anwendung, die weiß, wie man Passwörter in Kerberos ändert? Wie kann ich die Kontosperre in LDAP und Kerberos synchronisieren?
In Univention corporate Server UCS gibt es jetzt eine App, mit der Benutzer das Kennwort über ein Webmodul ändern können. Eine Linux-Distribution, bei der Authentifizierungskomplikationen sofort funktionieren.
HAFTUNGSAUSSCHLUSS: Ich arbeite für Univention =).