[sisyphus] openldap

Yury Konovalov =?iso-8859-1?q?yurix_=CE=C1_unixcenter=2Eru?=
Пт Окт 17 13:28:08 MSD 2003 

Четверг 16 Октябрь 2003 15:39, Епифанов Сергей написал:
> В сообщении от 16 Октябрь 2003 12:46 Yury Konovalov написал:
> > Я использую только аутентификацию через sasl
> > Впрочем, и simple bind работает тоже без проблем
>
> Не подскажете, как Вы настраивали sasl к openldap? Ссылки на документы или
> хотя бы подсказки.
Из всех механизмов sasl я использую только gssapi, так что sasl для меня 
только посредник для аутентификации билетами Krb5.
В кратце последовательность такая:
1) Развернуть инфраструктуру Kerberos в сети. Это отдельная тема.
    Собственно она нормально освещена в доках к MIT Kerberos
2) Завести в базе kerberos  принципал для ldap сервера и экспортировать
  ключ в файл на сервере ldap, например /etc/openldap/ldap.keytab.
3) в /etc/sysconfig/ldap добавить
export KRB5_KTNAME="FILE:/etc/openldap/ldap.keytab"
4) сам файл защитить от посторонних глаз.
5) Теперь нужно подсказать ldap как сопоставить принципалы Kerberos (а точнее 
пользователей sasl) и объекты ldap. Это можно сделать с помощью sasl-regexp.
(Такой-же метод должен работать и для других механизмов sasl2):
В slapd.conf:
 ...
sasl-regexp
    uid=(.*),cn=gssapi,cn=auth
    uid=$1,ou=People,dc=example,dc=com
 ...   
6) Все, теперь можно пользоваться:
    kinit vasya
    ldapsearch -Ygssapi

Что касается документов, то помнится была хорошая презентация по OpenLDAP.
ftp://kalamazoolinux.org/pub/pdf/ldapv3.pdf (это обязательно нужно посмотреть)
Ну и  google конечно.

Ввиду давнишней неработоспособности gssapi-plugin к sasl2, я использую 
пересобранные пакеты krb5, sasl2, openldap и некоторые другие. У меня
указанная неисправность не проявляется. Для интересующихся:
rpm [yurix] ftp://ftp.mai.ru/pub/UnixCenter/Wider i586 yurix

С момента выпуска krb 1.3.1 стало возможным использовать эти пакеты прямо из
Сизифа. На тестовой машине я попробовал установить сизифовскую сборку openldap
и действительно наблюдал подобные падения сервиса. Но при этом сервер четко
ругался на недоступные функции ssl. Я так и не понял, с чем это связано, но 
если перед запуском slapd вызвать ldconfig, то работает стабильно. По-крайней
мере на моей системе slapd больше не падал (2.1.22-alt10).

-- 
Yury Konovalov [mailto:yurix на unixcenter.ru, phone: +7 (095) 1584526]

Подробная информация о списке рассылки Sisyphus