[Comm] LDAP и PAM: вопрос для повышения образованности

Dmitriy M. Maslennikov =?iso-8859-1?q?maslennikovdm_=CE=C1_gmail=2Ecom?=
Вт Янв 6 13:16:27 MSK 2009 

6 января 2009 г. 12:46 пользователь Денис Черносов
<denis0.ru на gmail.com> написал:
> А есть инструкция? А то у меня от внедрения LDAP немного крыша едет
> (перфекционизм проклятый - всё хочется до тонкостей разобрать, а не
> просто под кальку заделать). Опасаюсь, что Kerberos мой проект вообще
> в долгострой превратит...
У меня только в голове. И я LDAP уже очень давно не занимался. Могу
только вводную дать: Kerberos - это протокол, который состоит из трех:
соединение с KDC сервером (представление клиента и получение ключа для
быстрого обращения к KDC серверу в дальнейшем), получение ключа от KDC
сервера к требуемому серверу. Обращение к требуемому серверу.

Из всего этого следует, что необходимо настроить KDC сервер, который
хранит пользователей в виде <имя>@<REALM>, и сервисы в похожем виде (в
имени используется префикс в виде типа сервиса с полным доменным
именем сервиса) и пароли пользователей и сервисов (для взаимной
аутентификации). Соответственно выбираем REALM (обычно имя домена
записанное в верхнем регистре), создаем базу данных, указываем
используемые протоколы шифрования, заводим всех пользователей (есть
всякие графические штуковины, которые еще сразу в LDAP записи заводят
и прочее, можно вручную...), и все необходимые сервисы (как минимум
вам понадобиться ваш LDAP сервер). После этого настраиваете LDAP
сервер, так, чтобы он мог аутентифицировать пользователей с помощью
Kerberos (GSSAPI так может).

После этого вы используете nss_ldap для получения данных
пользователей, а pam_krb5 для входа пользователей в систему. PAM
модуль пытается получить TGT (Ticket Grant Ticket) с паролем
пользователя у KDC. Если получилось - пользователь входит в систему.
Кроме того данный билет сохраняется для пользователя и используется
автоматически при подключении к тому же ldap (например NSS модулем). О
настройке LDAP толком ничего не помню, кроме того, что она у меня
работала, и LDAP серверу надо указать, как имя пользователя отобразить
на dn, которое будет ему соответствовать. Это общий принцип. О
настройке конкретных вещей к соответствующим руководствам.

-- 
Dmitriy M. Maslennikov
rlz на etersoft.ru
rlz на altlinux.org
maslennikovdm на gmail.com
master на armory.ru

Подробная информация о списке рассылки community