Durante las últimas semanas he estado configurando una solución SSO para nuestra pequeña empresa. En este momento tengo un servidor que ejecuta OpenLDAP 2.4.4 con kerberos (backend de openldap). Los usuarios pueden iniciar sesión y obtener un ticket de krb; también usando SASL puedo conectar aplicaciones web a LDAP que se autenticarán con kerberos (el atributo userPassword es {SASL}[correo electrónico protegido]).
Todo iba genial, hasta que necesitábamos una aplicación web para el autoservicio del usuario (activación de cuenta por primera vez, restablecimiento de contraseña, etc...), después de buscar algunas soluciones encontré PWM (https://github.com/pwm-project/pwm), después de configurar PWM, noté algo, cuando intenté cambiar una contraseña de PWM, intenté escribir en el atributo "userPassword", pero ese atributo solo apunta a OpenLDAP para autenticarse con Kerberos. Después de buscar un poco más, no pude encontrar ninguna aplicación web que admita la administración ldap con autenticación Kerberos, es decir, una aplicación que cambie la contraseña Kerberos y no el atributo "userPassword" en OpenLDAP. Entonces cambié "userPassword" para contener la contraseña real y con smbkrb4pwd puedo sincronizar las contraseñas en LDAP y Kerberos. Genial, pero luego me di cuenta de que si cambio la contraseña en kerberos, la contraseña en LDAP no cambiará, solo si la cambio en LDAP entonces smbkrb4pwd la actualizará en kerberos. suspiro, no hay problema, simplemente configuraré PAM para usar ldap para "contraseña".
Y hoy comencé a configurar políticas de contraseña, después de terminar la política en LDAP descubrí que necesito crear una política separada en Kerberos, ¿no se puede usar la misma en LDAP? bien. Entonces, ambas políticas de contraseña funcionaban bien, las cuentas se bloquean después de X intentos fallidos, genial, pero luego descubro que si bloqueo mi cuenta en OpenLDAP, aún puedo intentar autenticarme en Kerberos.
Así que aquí estoy, totalmente perdido en cómo continuar. ¿Existe alguna aplicación WEB que sepa cambiar contraseñas en kerberos? ¿Cómo puedo sincronizar el bloqueo de cuenta en LDAP y Kerberos?
Respuesta1
No pude encontrar ninguna aplicación web que admita la administración ldap con autenticación Kerberos, es decir, una aplicación que cambie la contraseña de Kerberos y no el atributo "userPassword" en OpenLDAP.
Veresta pregunta, sobre el módulo de superposición para mantener sincronizadas las contraseñas de samba LDAP y Kerberos. Por ejemplo, en Debian el paquete se llama:
"slapd-smbk5pwd: mantiene sincronizadas las contraseñas de Samba y Kerberos dentro de slapd".
¿Existe alguna aplicación WEB que sepa cambiar contraseñas en kerberos? ¿Cómo puedo sincronizar el bloqueo de cuenta en LDAP y Kerberos?
- Ahora, hay unAplicaciónen el Servidor corporativo UCS de Univention que permite a los usuarios cambiar su contraseña a través de un módulo Web. Una distribución de Linux que hace que esas complejidades de autenticación funcionen desde el primer momento.
DESCARGO DE RESPONSABILIDAD: Trabajo para Univention =).