He estado trabajando en la migración de un clúster de servidores existente para usar openldap para la administración de usuarios/contraseñas. Sin embargo, me encontré con un problema: no tengo acceso a contraseñas de texto sin formato y todos los métodos SASL (que he identificado hasta ahora) requieren contraseñas de texto sin formato en la base de datos. El único formato disponible es cripto. Período.
Para muchos programas, la autenticación simple todavía está disponible. Sin embargo, si uno usa libldap2 (openldap), específicamente la familia de funciones ldap_sasl_interactive_bind solo admite conexiones SASL, todas las demás están deshabilitadas y en desuso.
Entonces, ¿cómo me autentico si SASL no funciona? (SASL no admite cripta = roto)
Enfoques de autenticación que se utilizarán: radio (freeradius) aplicaciones
web
personalizadas en C duplicación
ssh
ldap
Pude hacer que Radius funcione y eso es todo.
Muchas ayudas, bienvenidas: los documentos no dicen por qué la autenticación simple ha quedado obsoleta y parece ser la única que puede funcionar. Cada vez que SASL se activa, nada funciona.
El entorno es ubuntu-14.04; openldap, cyrus-sasl (a través de openldap), freeradius, apache y componentes C y C++ personalizados.
Respuesta1
No hay mucha diferencia entre la autenticación simple LDAP y SASL/PLAIN. En ambos, la contraseña en texto plano la proporciona el cliente y la procesa el servidor.OpenLDAP no requiere que las contraseñas se almacenen enTexto sin formatoy, de hecho, puede utilizar el sistema localcripta(3)función. Debido a que se trata de contraseñas de texto sin formato durante la transmisión, se debe hacer un esfuerzo para garantizar que esas contraseñas no se envíen sin cifrar. Esto normalmente se hace usando STARTTLS como parte de la conexión LDAP, pero LDAPS también es una opción.
$ ldapwhoami -h ldap.example.com -ZZ -x -D uid=user,ou=people,dc=example,dc=com -W
Enter LDAP Password:
dn:uid=user,ou=people,dc=example,dc=com
$ ldapwhoami -h ldap.example.com -ZZ -D uid=user,ou=people,dc=example,dc=com -W
Enter LDAP Password:
dn:uid=user,ou=people,dc=example,dc=com