Ich lerne, OpenLDAP als Backend-Datenbank für Kerberos-Anmeldeinformationen zu verwenden. Es ist gut, dass alle Programme mit Single Sign-On funktionieren.
Das Problem ist: Ich kann Benutzer über die Kadmin-Eingabeaufforderung verwalten, es gibt jedoch keine alternative Methode dafür.
Fragen
1. Gibt es GUIs von Drittanbietern zum Verwalten der Kerberos-Daten?
2. Können wir von jedem OpenLDAP-Client wie Apache Directory Studio oder LDAPAdmin neue Kerberos-Principals erstellen?
Antwort1
Probieren Sie den Identitätsverwaltungsdienst von Red Hat aus. Dabei handelt es sich um eine Kombination aus LDAP und Kerberos. Er ist Open Source und verfügt über eine Weboberfläche, aber ich bin mir nicht sicher, wie umfangreich diese ist. Wenn nichts anderes, sind die CLI-Dokumente wahrscheinlich vollständiger.
Open Source-Version: http://directory.fedoraproject.org/wiki/Main_Page Red Hat-Version: https://access.redhat.com/site/documentation/Red_Hat_Directory_Server/
Antwort2
Das ist interessant. Ich glaube nicht, dass es allgemein gute allgemeine Benutzerverwaltungs-GUIs für LDAP gibt, ganz zu schweigen von LDAP und Kerberos. Bestimmte Produkte haben bestimmte Tools.
Ich denke, das Problem besteht darin, dass die meisten Organisationen ihre Benutzerkonten auf unterschiedliche Weise verwalten.
Schließlich habe ich mein eigenes Skript zur Kontoerstellung geschrieben, um die Benutzer und Gruppen in LDAP zu erstellen, den Principal in Kerberos zu erstellen, das Home-Verzeichnis auf dem NFS-Server zu erstellen, die Autofs-Einträge zu LDAP hinzuzufügen usw.