In den letzten Wochen habe ich eine SSO-Lösung für unser kleines Unternehmen konfiguriert. Im Moment habe ich einen Server, auf dem OpenLDAP 2.4.4 mit Kerberos (OpenLDAP-Backend) läuft. Benutzer können sich anmelden und ein Ticket von krb erhalten. Außerdem kann ich mit SASL Webanwendungen mit LDAP verbinden, die mit Kerberos authentifiziert werden (das Attribut userPassword ist {SASL}[email geschützt]).
Alles war großartig, bis wir eine Webanwendung für den Benutzer-Self-Service benötigten (erste Kontoaktivierung, Passwortzurücksetzung usw.). Nachdem ich nach einigen Lösungen gesucht hatte, fand ich PWM (https://github.com/pwm-project/pwm), nachdem ich PWM eingerichtet hatte, fiel mir etwas auf: Beim Versuch, ein Passwort zu ändern, versuchte PWM, in das Attribut „userPassword“ zu schreiben, aber dieses Attribut verwies OpenLDAP nur auf die Authentifizierung mit Kerberos. Nach weiterer Suche konnte ich keine Webanwendung finden, die LDAP-Verwaltung mit Kerberos-Authentifizierung unterstützt, also eine Anwendung, die das Kerberos-Passwort und nicht das Attribut „userPassword“ in OpenLDAP ändert. Also änderte ich „userPassword“, um das eigentliche Passwort zu speichern, und mit smbkrb4pwd kann ich die Passwörter in LDAP und Kerberos synchronisieren. Das fand ich toll, aber dann wurde mir klar, dass, wenn ich das Passwort in Kerberos ändere, sich das Passwort in LDAP nicht ändert; nur wenn ich es in LDAP ändere, aktualisiert smbkrb4pwd es in LDAP. Seufz, kein Problem, ich werde PAM einfach so konfigurieren, dass LDAP für „passwd“ verwendet wird.
Und heute habe ich angefangen, Kennwortrichtlinien einzurichten. Nachdem ich die Richtlinie in LDAP fertiggestellt hatte, stellte ich fest, dass ich eine separate Richtlinie in Kerberos erstellen muss. Kann man nicht einfach dieselbe in LDAP verwenden? Gut. Beide Kennwortrichtlinien funktionierten also einwandfrei. Konten wurden nach X fehlgeschlagenen Versuchen gesperrt, großartig. Aber dann stellte ich fest, dass ich, wenn ich mein Konto in OpenLDAP sperre, immer noch versuchen kann, mich in Kerberos zu authentifizieren.
Hier stehe ich also und weiß überhaupt nicht, wie ich weitermachen soll. Gibt es eine Webanwendung, die weiß, wie man Passwörter in Kerberos ändert? Wie kann ich die Kontosperre in LDAP und Kerberos synchronisieren?
Antwort1
Ich konnte keine Webanwendung finden, die die LDAP-Verwaltung mit Kerberos-Authentifizierung unterstützt, also eine Anwendung, die das Kerberos-Passwort und nicht das Attribut „userPassword“ in OpenLDAP ändert.
Sehendiese Frage, über das Overlay-Modul, um Samba-LDAP- und Kerberos-Passwörter synchron zu halten. In Debian heißt das Paket beispielsweise:
„slapd-smbk5pwd – Hält Samba- und Kerberos-Passwörter innerhalb von slapd synchron.“
Gibt es eine Webanwendung, die Passwörter in Kerberos ändern kann? Wie kann ich die Kontosperre in LDAP und Kerberos synchronisieren?
- Jetzt gibt es eineAppim Univention Corporate Server UCS, der es Benutzern ermöglicht, ihr Passwort über ein Webmodul zu ändern. Eine Linux-Distribution, mit der diese Authentifizierungskomplexitäten sofort funktionieren.
HAFTUNGSAUSSCHLUSS: Ich arbeite für Univention =).