それで、ここ数週間、私は私たちの小さな会社のために SSO ソリューションを構成してきました。現在、私は Kerberos (OpenLDAP バックエンド) で OpenLDAP 2.4.4 を実行しているサーバーを持っています。ユーザーはログインして krb からチケットを取得できます。また、SASL を使用して、Kerberos で認証する LDAP に Web アプリケーションを接続することもできます (userPassword 属性は {SASL} です)。[メールアドレス])。
すべて順調でしたが、ユーザーセルフサービス用のWebアプリケーション(初回アカウント有効化、パスワードリセットなど)が必要になったため、いくつかのソリューションを探した結果、PWM(https://github.com/pwm-project/pwm)、PWM を設定した後、あることに気付きました。PWM でパスワードを変更しようとすると、「userPassword」属性に書き込もうとしますが、その属性は OpenLDAP が Kerberos で認証するように指定するだけです。さらに検索しても、Kerberos 認証による LDAP 管理をサポートする Web アプリケーションは見つかりませんでした。つまり、OpenLDAP の「userPassword」属性ではなく Kerberos パスワードを変更するアプリケーションです。そこで、「userPassword」を実際のパスワードを保持するように変更し、smbkrb4pwd を使用して LDAP と Kerberos のパスワードを同期できるようになりました。素晴らしいと思いましたが、Kerberos でパスワードを変更しても、LDAP のパスワードは変更されないことに気付きました。LDAP でパスワードを変更した場合のみ、smbkrb4pwd が Kerberos でパスワードを更新します。ああ、問題ありません。PAM を設定して、「passwd」に LDAP を使用するだけです。
そして今日、パスワード ポリシーの設定を開始しました。LDAP でポリシーを終了した後、Kerberos で別のポリシーを作成する必要があることがわかりました。LDAP で同じポリシーを使用することはできないのでしょうか? わかりました。両方のパスワード ポリシーは正常に動作し、X 回の試行失敗後にアカウントがロックアウトされました。すばらしいことですが、その後、OpenLDAP でアカウントをロックしても、Kerberos で認証を試行できることが分かりました。
というわけで、どうしたらいいのかまったくわからなくなってしまいました。Kerberos でパスワードを変更する方法を知っている WEB アプリケーションはありますか? LDAP と Kerberos でアカウント ロックを同期するにはどうすればいいですか?
答え1
Kerberos 認証による LDAP 管理をサポートする Web アプリケーション、つまり OpenLDAP の "userPassword" 属性ではなく Kerberos パスワードを変更するアプリケーションは見つかりませんでした。
見るこの質問、Samba LDAP と Kerberos パスワードを同期させるためのオーバーレイ モジュールについて。たとえば、Debian ではパッケージは次のようになります。
「slapd-smbk5pwd - slapd 内で Samba と Kerberos のパスワードを同期します。」
Kerberos でパスワードを変更する方法を知っている WEB アプリケーションはありますか? LDAP と Kerberos でアカウント ロックを同期するにはどうすればよいですか?
- さて、アプリUnivention 企業サーバー UCS では、ユーザーが Web モジュール経由でパスワードを変更できるようになります。複雑な認証をすぐに実行できる Linux ディストリビューションです。
免責事項: 私は Univention で働いています =)。