我正在學習使用 openldap 作為 kerberos 憑證的後端資料庫。所有程式都可以單點登錄,這很好。
問題是 - 我可以從 kadmin 命令提示字元管理用戶,但沒有替代方法可以做到這一點。
問題
1. 是否有任何第三方 GUI 可以管理 kerberos 資料?
2. 我們可以從任何 Openldap 用戶端(例如 apache Directory Studio 或 ldapadmin)建立新的 kerberos 主體嗎?
答案1
嘗試紅帽的身份管理服務。它是 LDAP 和 Kerberos 捆綁在一起的。它是開源的並且有一個網路介面,但我不確定該介面的範圍有多大。如果不出意外的話,CLI 文件可能更完整。
開源版本: http://directory.fedoraproject.org/wiki/Main_Page 紅帽版本: https://access.redhat.com/site/documentation/Red_Hat_Directory_Server/
答案2
這很有趣。我認為一般來說 LDAP 沒有任何好的通用使用者管理 GUI,更不用說 LDAP 和 kerberos。特定的產品有特定的工具。
我認為問題在於大多數組織以不同的方式管理其使用者帳戶。
我最終編寫了自己的帳戶建立腳本來在 LDAP 中建立使用者和群組、在 kerberos 中建立主體、在 NFS 伺服器上建立主目錄、將 autofs 條目新增至 LDAP 等。