Итак, последние несколько недель я настраивал решение SSO для нашей небольшой компании. Сейчас у меня есть сервер, на котором запущен OpenLDAP 2.4.4 с kerberos (backend openldap). Пользователи могут войти в систему и получить тикет от krb, также с помощью SASL я могу подключить веб-приложения к LDAP, которые будут проходить аутентификацию с помощью kerberos (атрибут userPassword равен {SASL}[email protected]).
Все было замечательно, пока нам не понадобилось веб-приложение для самостоятельного обслуживания пользователей (первая активация учетной записи, сброс пароля и т. д.). После поиска некоторых решений я нашел PWM (https://github.com/pwm-project/pwm), после настройки PWM я заметил кое-что, когда пытался изменить пароль PWM с попыткой записи в атрибут "userPassword", но этот атрибут просто указывает OpenLDAP на аутентификацию с помощью kerberos. После дополнительных поисков я не смог найти ни одного веб-приложения, которое поддерживает администрирование ldap с аутентификацией kerberos, то есть приложение, которое будет менять пароль kerberos, а не атрибут "userPassword" в OpenLDAP. Поэтому я изменил "userPassword" на фактический пароль, и с помощью smbkrb4pwd я могу синхронизировать пароли в LDAP и kerberos. Отлично, я думал, но потом я понял, что если я изменю пароль в kerberos, пароль в LDAP не изменится, только если я изменю его в LDAP, то smbkrb4pwd обновит его в kerberos. Вздох, нет проблем, я просто настрою PAM на использование ldap для "passwd".
И сегодня я начал настраивать политики паролей, после завершения политики в LDAP я обнаружил, что мне нужно создать отдельную в kerberos, нельзя ли просто использовать ту же самую в LDAP? отлично. Итак, обе политики паролей работали нормально, учетные записи блокируются после X неудачных попыток, отлично, но затем я обнаруживаю, что если я заблокирую свою учетную запись в OpenLDAP, я все равно смогу попытаться пройти аутентификацию в kerberos.
Вот я здесь, совершенно не понимаю, как продолжать. Есть ли WEB-приложение, которое умеет менять пароли в kerberos? Как синхронизировать блокировку аккаунта в LDAP и kerberos?
решение1
Мне не удалось найти ни одного веб-приложения, которое поддерживало бы администрирование LDAP с аутентификацией Kerberos, то есть приложение, которое изменяло бы пароль Kerberos, а не атрибут «userPassword» в OpenLDAP.
Видетьэтот вопрос, о модуле наложения для синхронизации паролей Samba LDAP и Kerberos. Например, в Debian пакет называется:
«slapd-smbk5pwd — синхронизирует пароли Samba и Kerberos в slapd».
Есть ли WEB-приложение, которое умеет менять пароли в kerberos? Как синхронизировать блокировку аккаунта в LDAP и kerberos?
- Теперь естьПриложениев Univention corporate Server UCS, который позволяет пользователям менять свой пароль через веб-модуль. Дистрибутив Linux, который заставляет эти тонкости аутентификации работать прямо из коробки.
ОТКАЗ ОТ ОТВЕТСТВЕННОСТИ: Я работаю в Univention =).