Então, nas últimas semanas, tenho configurado uma solução de SSO para nossa pequena empresa. No momento tenho um servidor rodando OpenLDAP 2.4.4 com Kerberos (backend openldap). Os usuários podem fazer login e obter um ticket do krb, também usando SASL. Posso conectar aplicativos da web ao LDAP que serão autenticados com kerberos (o atributo userPassword é {SASL}[e-mail protegido]).
Tudo estava ótimo, até que precisávamos de uma aplicação web para autoatendimento do usuário (primeira ativação de conta, redefinição de senha, etc...), depois de procurar algumas soluções encontrei o PWM (https://github.com/pwm-project/pwm), depois de configurar o PWM notei algo, ao tentar alterar uma senha do PWM, tentei escrever no atributo "userPassword", mas esse atributo apenas aponta o OpenLDAP para autenticar com Kerberos. Depois de pesquisar mais, não consegui encontrar nenhum aplicativo web que suporte administração ldap com autenticação Kerberos, ou seja, um aplicativo que alterará a senha Kerberos e não o atributo "userPassword" no OpenLDAP. Então mudei "userPassword" para manter a senha real e com smbkrb4pwd posso sincronizar as senhas em LDAP e Kerberos. Ótimo, mas então percebi que se eu alterar a senha no Kerberos, a senha no LDAP não mudará, somente se eu alterá-la no LDAP, o smbkrb4pwd irá atualizá-la no Kerberos. suspiro, não tem problema, vou apenas configurar o PAM para usar ldap para "passwd".
E hoje comecei a configurar políticas de senha, depois de terminar a política no LDAP descobri que preciso criar uma separada no kerberos, não dá para usar a mesma no LDAP? multar. Portanto, ambas as políticas de senha estavam funcionando bem, as contas estavam sendo bloqueadas após X tentativas fracassadas, ótimo, mas então descobri que se eu bloquear minha conta no OpenLDAP, ainda poderei tentar autenticar no Kerberos.
Então aqui estou, totalmente perdido em como continuar. Existe alguma aplicação WEB que saiba alterar senhas no Kerberos? Como posso sincronizar o bloqueio de conta em LDAP e Kerberos?
Responder1
Não consegui encontrar nenhum aplicativo da web que suporte administração ldap com autenticação Kerberos, ou seja, um aplicativo que alterará a senha Kerberos e não o atributo "userPassword" no OpenLDAP.
Veressa questão, sobre o módulo de sobreposição para manter as senhas LDAP e Kerberos do samba sincronizadas. Por exemplo, no Debian o pacote é chamado:
"slapd-smbk5pwd - Mantém as senhas do Samba e do Kerberos sincronizadas no slapd."
Existe alguma aplicação WEB que saiba alterar senhas no Kerberos? Como posso sincronizar o bloqueio de conta em LDAP e Kerberos?
- Agora, há umAplicativono Servidor corporativo Univention UCS que permite aos usuários alterar sua senha através de um módulo Web. Uma distribuição Linux que faz com que essas complexidades de autenticação funcionem imediatamente.
AVISO LEGAL: Eu trabalho para a Univention =).