Назад | Перейти на главную страницу

Можно ли настроить LDAP на прием аутентификации от ssh-agent вместо Kerberos?

[Этот вопрос не о том, чтобы получить ваш пароль LDAP для аутентификации при входе в систему через SSH. У нас это работает отлично, спасибо :-)]

Предположим, вы находитесь в сети Linux (Ubuntu 11.10, slapd 2.4.23) и вам нужно написать набор утилит, которые будут использовать ldapmodify, ldapadd, ldapdelete и т. Д. У вас нет Kerberos, и вы не хотите иметь дело с его тайм-аутами (большинство пользователей не знают, как это обойти), причудами и т. Д. Это решает вопрос о том, где еще получить учетные данные для подачи. LDAP, вероятно, через GSSAPI - который технически не требует Kerberos, несмотря на его доминирование, - или что-то в этом роде.

Однако, похоже, почти у всех есть программа-агент SSH с ее кешем ключей. Мне бы очень хотелось, чтобы ssh-add было достаточно, чтобы разрешить использование команды LDAP без пароля.

Кто-нибудь знает о проекте, который работает над использованием агента SSH в качестве источника аутентификации для LDAP? Это может быть через слой GSSAPI, поддерживающий ssh, или какой-то другой трюк, о котором я не думал. Но было бы замечательно, если бы LDAP упростил. Предполагая, что я не совсем упустил возможность использовать ldapmodify и kin без необходимости вводить свои пароли LDAP - использование -x НЕ приемлемо.

На моем сайте сервер LDAP принимает только соединения ldaps и требует аутентификации для изменения операций. Это, конечно, требования.

OpenLDAP использует SASL для аутентификации. SASL не понимает ssh-ключи.

Однако у SASL есть привязки к библиотекам TLS. Вы должны уметь делать то, что хотите, используя ВНЕШНИЙ TLS SASL с участием Сертификаты клиентов. Вероятно, вам также придется изменить либо ваши ACL, либо Отображение аутентификации.

На Kerberos:
- Если под тайм-аутом вы имеете в виду часы, NTP для этого.
- Если вы имеете в виду истечение срока действия билета, то вам нужно использовать kstart.