Назад | Перейти на главную страницу

Не удается определить принципал, используемый для LDAP syncrepl GSSAPI

Я настроил два полнофункциональных openldap в HA (поставщик режима syncrepl - подчиненный). После тестирования того, что простая привязка syncrepl работает безупречно, я пытаюсь развернуть ее с нуля, используя только GSSAPI, чтобы избежать использования паролей в виде простого текста. Я настроил клиент (ldap.conf) для использования GSSAPI и отлично работает, так что он должен работать и для syncrepl. Я настроил поставщика и потребителя.

Это конфигурация olcSyncrepl в базе данных hdb. Если пропустить authcid и authzid, конечный результат не изменится:

    olcSyncrepl{0}: rid=001 
    provider="ldap://authsrv1.ex.ample.com" 
    bindmethod=sasl 
    saslmech=gssapi 
    searchbase="dc=ex,dc=ample,dc=com" 
    type=refreshAndPersist 
    retry="30 5 300 3" 
    interval=00:00:01:00 

Если конфигурация изменена на простую привязку, она безупречно реплицируется. Krb5.keytab был добавлен в файл sysconfig openldap.

Я смог бы решить эту проблему, если бы мог знать, какой принципал использует для попытки репликации, но журналы не отображают эту информацию (LogLevel 255).

> slapd[2091]: GSSAPI Error: Unspecified GSS failure.  Minor code may
> provide more information (No Kerberos credentials available)
> 
> slapd[2091]: slap_client_connect: URI=ldap://authsrv1.ex.ample.com
> ldap_sasl_interactive_bind_s failed (-2)

ldapwhoami с использованием GSSAPI работает безупречно после использования kinit.

РЕДАКТИРОВАТЬ: это моя конфигурация /etc/sasl2/slapd.conf

mech_list: gssapi diges-md5 cram-md5 external
pwcheck_method: saslauthd
keytab: /etc/ldap.keytab

ldap.keytab содержит ключи участников ldap / authsrv1.ex.ample.com и ldap / authsrv2.ex.ample.com и принадлежат пользователю ldap и группе ldap. Также я создал syncrepl inetOrgPerson и добавил механизм {SASL} в качестве пароля, чтобы проверить, могу ли я использовать выделенную учетную запись вместо ldap / authsrv ...

Если я выполню кинит с обоих серверов:

kinit -k -t /etc/ldap.keytab syncrepl
kinit -k -t /etc/ldap.keytab ldap/authsrv1.ex.ample.com
kinit -k -t /etc/ldap.keytab ldap/authsrv2.ex.ample.com

KDC дает мне билет, и затем я могу безупречно выполнить ldapsearch -Y GSSAPI или ldapwhoami -Y GSSAPI.

Кроме того, клиент ldap.conf настроен на использование GSSAPI и также безупречно работает со всеми нашими клиентами.

BASE dc=ex,dc=ample,dc=com
URI ldap://authsrv1.ex.ample.com:389/,ldap://authsrv2.ex,ample.com:389/
TLS_CACERT /certs/EXAMPLE.pem
TLS_CACERTDIR /certs/
TLS_CERT /certs/authsrv1.ex.ample.com.pem
TLS_KEY /certs/authsrv1.ex.ample.com.key.pem
SUDOERS_BASE ou=SUDOers,dc=ex,dc=ample,dc=com
SASL_MECH GSSAPI
SASL_REALM EX.AMPLE.COM
GSSAPI_SIGN on
GSSAPI_ENCRYPT off
NETWORK_TIMEOUT 10
BIND_POLICY soft
nss_initgroups_ignoreusers root,ldap,named,avahi,haldaemon,dbus
bind_timeout 2
nss_reconnect_tries 2
nss_reconnect_sleeptime 1
nss_reconnect_maxconntries 3

Наш веб-сервер позволяет аутентификацию с использованием SASLAUTHD и также работает безупречно. Все, что мы не можем настроить, это syncrepl через GSSAPI.

Я пробовал также указать authcid и authzid, и у меня есть следующий authregex в поставщике cn = config:

olcAuthRegexp: {0}uid=(.*),cn=gssapi,cn=auth ldap://dc=ex,dc=ample,dc=com??sub?(&(uid=$1)(objectClass=inetOrgPerson)

Что касается ACL, я попытался выполнить репликацию с тем же пользователем (syncrepl) с помощью простого механизма аутентификации, и он отлично работает.

Любые идеи?

Огромное спасибо.

Наилучшие пожелания.

$ cat /etc/redhat-release
CentOS Linux release 7.8.2003 (Core)
$
$
$ grep KRB5 /etc/sysconfig/slapd
KRB5_KTNAME="FILE:/etc/openldap/ldap.keytab"
KRB5_CLIENT_KTNAME="FILE:/etc/openldap/ldap.keytab"
$ ls -l /etc/openldap/ldap.keytab
-rw-------. 1 ldap ldap 346 Jun 15  2015 /etc/openldap/ldap.keytab
$
$
$  ps aux | grep slapd | grep -v grep
ldap      1121  1.2  3.9 356408 39748 ?        Ssl  22:07   0:02 /usr/sbin/slapd -u ldap -h ldapi:/// ldap:/// ldaps:///

Спустя много дней, недель ... пытаясь понять, что происходит ...

Проблема была в / etc / sysconfig / openldap. Меняется:

OPENLDAP_USER="ldap"
OPENLDAP_GROUP="ldap"

Кому:

OPENLDAP_USER=""
OPENLDAP_GROUP=""

Решил вопрос.