Я настроил два полнофункциональных openldap в HA (поставщик режима syncrepl - подчиненный). После тестирования того, что простая привязка syncrepl работает безупречно, я пытаюсь развернуть ее с нуля, используя только GSSAPI, чтобы избежать использования паролей в виде простого текста. Я настроил клиент (ldap.conf) для использования GSSAPI и отлично работает, так что он должен работать и для syncrepl. Я настроил поставщика и потребителя.
Это конфигурация olcSyncrepl в базе данных hdb. Если пропустить authcid и authzid, конечный результат не изменится:
olcSyncrepl{0}: rid=001
provider="ldap://authsrv1.ex.ample.com"
bindmethod=sasl
saslmech=gssapi
searchbase="dc=ex,dc=ample,dc=com"
type=refreshAndPersist
retry="30 5 300 3"
interval=00:00:01:00
Если конфигурация изменена на простую привязку, она безупречно реплицируется. Krb5.keytab был добавлен в файл sysconfig openldap.
Я смог бы решить эту проблему, если бы мог знать, какой принципал использует для попытки репликации, но журналы не отображают эту информацию (LogLevel 255).
> slapd[2091]: GSSAPI Error: Unspecified GSS failure. Minor code may
> provide more information (No Kerberos credentials available)
>
> slapd[2091]: slap_client_connect: URI=ldap://authsrv1.ex.ample.com
> ldap_sasl_interactive_bind_s failed (-2)
ldapwhoami с использованием GSSAPI работает безупречно после использования kinit.
РЕДАКТИРОВАТЬ: это моя конфигурация /etc/sasl2/slapd.conf
mech_list: gssapi diges-md5 cram-md5 external
pwcheck_method: saslauthd
keytab: /etc/ldap.keytab
ldap.keytab содержит ключи участников ldap / authsrv1.ex.ample.com и ldap / authsrv2.ex.ample.com и принадлежат пользователю ldap и группе ldap. Также я создал syncrepl inetOrgPerson и добавил механизм {SASL} в качестве пароля, чтобы проверить, могу ли я использовать выделенную учетную запись вместо ldap / authsrv ...
Если я выполню кинит с обоих серверов:
kinit -k -t /etc/ldap.keytab syncrepl
kinit -k -t /etc/ldap.keytab ldap/authsrv1.ex.ample.com
kinit -k -t /etc/ldap.keytab ldap/authsrv2.ex.ample.com
KDC дает мне билет, и затем я могу безупречно выполнить ldapsearch -Y GSSAPI или ldapwhoami -Y GSSAPI.
Кроме того, клиент ldap.conf настроен на использование GSSAPI и также безупречно работает со всеми нашими клиентами.
BASE dc=ex,dc=ample,dc=com
URI ldap://authsrv1.ex.ample.com:389/,ldap://authsrv2.ex,ample.com:389/
TLS_CACERT /certs/EXAMPLE.pem
TLS_CACERTDIR /certs/
TLS_CERT /certs/authsrv1.ex.ample.com.pem
TLS_KEY /certs/authsrv1.ex.ample.com.key.pem
SUDOERS_BASE ou=SUDOers,dc=ex,dc=ample,dc=com
SASL_MECH GSSAPI
SASL_REALM EX.AMPLE.COM
GSSAPI_SIGN on
GSSAPI_ENCRYPT off
NETWORK_TIMEOUT 10
BIND_POLICY soft
nss_initgroups_ignoreusers root,ldap,named,avahi,haldaemon,dbus
bind_timeout 2
nss_reconnect_tries 2
nss_reconnect_sleeptime 1
nss_reconnect_maxconntries 3
Наш веб-сервер позволяет аутентификацию с использованием SASLAUTHD и также работает безупречно. Все, что мы не можем настроить, это syncrepl через GSSAPI.
Я пробовал также указать authcid и authzid, и у меня есть следующий authregex в поставщике cn = config:
olcAuthRegexp: {0}uid=(.*),cn=gssapi,cn=auth ldap://dc=ex,dc=ample,dc=com??sub?(&(uid=$1)(objectClass=inetOrgPerson)
Что касается ACL, я попытался выполнить репликацию с тем же пользователем (syncrepl) с помощью простого механизма аутентификации, и он отлично работает.
Любые идеи?
Огромное спасибо.
Наилучшие пожелания.
$ cat /etc/redhat-release
CentOS Linux release 7.8.2003 (Core)
$
$
$ grep KRB5 /etc/sysconfig/slapd
KRB5_KTNAME="FILE:/etc/openldap/ldap.keytab"
KRB5_CLIENT_KTNAME="FILE:/etc/openldap/ldap.keytab"
$ ls -l /etc/openldap/ldap.keytab
-rw-------. 1 ldap ldap 346 Jun 15 2015 /etc/openldap/ldap.keytab
$
$
$ ps aux | grep slapd | grep -v grep
ldap 1121 1.2 3.9 356408 39748 ? Ssl 22:07 0:02 /usr/sbin/slapd -u ldap -h ldapi:/// ldap:/// ldaps:///
Спустя много дней, недель ... пытаясь понять, что происходит ...
Проблема была в / etc / sysconfig / openldap. Меняется:
OPENLDAP_USER="ldap"
OPENLDAP_GROUP="ldap"
Кому:
OPENLDAP_USER=""
OPENLDAP_GROUP=""
Решил вопрос.