그래서 지난 몇 주 동안 저는 소규모 회사를 위한 SSO 솔루션을 구성해 왔습니다. 현재 저는 Kerberos(openldap 백엔드)와 함께 OpenLDAP 2.4.4를 실행하는 서버를 보유하고 있습니다. 사용자는 SASL을 사용하여 krb에서 로그인하고 티켓을 얻을 수 있습니다. Kerberos로 인증할 LDAP에 웹 애플리케이션을 연결할 수 있습니다(userPassword 속성은 {SASL}입니다.[이메일 보호됨]).
사용자 셀프 서비스(최초 계정 활성화, 비밀번호 재설정 등)를 위한 웹 애플리케이션이 필요할 때까지 모든 것이 훌륭했습니다. 몇 가지 솔루션을 찾은 후 PWM(https://github.com/pwm-project/pwm), PWM을 설정한 후 "userPassword" 속성에 쓰려고 비밀번호 PWM을 변경하려고 할 때 뭔가를 발견했지만 해당 속성은 OpenLDAP가 Kerberos로 인증하도록 지시합니다. 좀 더 검색한 후에도 Kerberos 인증을 사용하여 LDAP 관리를 지원하는 웹 응용 프로그램을 찾을 수 없습니다. 즉, OpenLDAP의 "userPassword" 속성이 아닌 Kerberos 암호를 변경하는 응용 프로그램을 의미합니다. 그래서 실제 비밀번호를 유지하기 위해 "userPassword"를 변경했고, smbkrb4pwd를 사용하면 LDAP와 Kerberos의 비밀번호를 동기화할 수 있습니다. 좋아요. 하지만 Kerberos에서 비밀번호를 변경하면 LDAP의 비밀번호는 변경되지 않고 LDAP에서 비밀번호를 변경하는 경우에만 smbkrb4pwd가 Kerberos에서 비밀번호를 업데이트한다는 것을 깨달았습니다. 문제 없습니다. "passwd"에 ldap을 사용하도록 PAM을 구성하겠습니다.
그리고 오늘 저는 비밀번호 정책 설정을 시작했습니다. LDAP에서 정책을 마친 후 Kerberos에서 별도의 정책을 만들어야 한다는 것을 알았습니다. LDAP에서도 동일한 정책을 사용할 수는 없나요? 괜찮은. 따라서 두 비밀번호 정책 모두 제대로 작동했고 X번 시도 실패 후 계정이 잠겼습니다. 하지만 OpenLDAP에서 내 계정을 잠그면 여전히 Kerberos에서 인증을 시도하고 인증할 수 있다는 것을 알게 되었습니다.
그래서 나는 계속하는 방법을 완전히 잃었습니다. Kerberos에서 비밀번호를 변경하는 방법을 아는 웹 애플리케이션이 있습니까? LDAP와 Kerberos에서 계정 잠금을 어떻게 동기화할 수 있나요?
답변1
Kerberos 인증을 통해 LDAP 관리를 지원하는 웹 응용 프로그램을 찾을 수 없습니다. 이는 OpenLDAP의 "userPassword" 속성이 아닌 kerberos 암호를 변경하는 응용 프로그램을 의미합니다.
보다이 질문, Samba LDAP 및 Kerberos 비밀번호를 동기화 상태로 유지하는 오버레이 모듈에 대해 설명합니다. 예를 들어 Debian에서는 패키지가 다음과 같이 호출됩니다.
"slapd-smbk5pwd - slapd 내에서 Samba 및 Kerberos 비밀번호를 동기화 상태로 유지합니다."
Kerberos에서 비밀번호를 변경하는 방법을 아는 웹 애플리케이션이 있습니까? LDAP와 Kerberos에서 계정 잠금을 어떻게 동기화할 수 있나요?
- 이제앱Univention Corporate Server UCS에서는 사용자가 웹 모듈을 통해 비밀번호를 변경할 수 있습니다. 복잡한 인증 과정을 즉시 사용할 수 있게 해주는 Linux 배포판입니다.
면책 조항: 저는 Univention =)에서 일합니다.