Базовая установка - это сервер OpenLDAP. Пользователи подготовлены, и пароли установлены. Теперь мы решили добавить MIT KDC, чтобы иметь возможность использовать Kerberos. Мы настроили MIT KDC для использования LDAP в качестве серверной части для базы данных KDC. Мы создаем принципалов и связываем их с существующими пользователями LDAP с помощью следующей команды:
addprinc -x dn=cn=test.user,ou=people,dc=example,dc=com test.user
Проблема в том, что при этом запрашивается новый пароль, ведущий к двум различным паролям при получении билетов Kerberos и выполнении привязок LDAP.
Есть ли способ синхронизировать эти пароли? То есть, когда пользователи меняют свои пароли с помощью kpasswd, я хочу, чтобы пароль LDAP также изменился. И когда пользователи меняют свой пароль с помощью ldappasswd, наоборот.
У кого-нибудь есть руководство для этого? Кажется, я ничего не могу найти в Интернете.
Вы не должны синхронизировать пароли. Вы должны использовать Сквозная аутентификация SASL. Ваш userPassword должен иметь форму {SASL}username@REALM.
Если вы не хотите строить все с нуля, я могу порекомендовать Univention Corporate Server (UCS). Это бесплатная операционная система корпоративного уровня на основе Debian, которая хорошо работает для управления доменом / идентификацией в гетерогенных средах, включая аутентификацию через OpenLDAP и Kerberos (по умолчанию Heimdal, необязательно Samba AD). Необходимые модули синхронизации и наложения встроены. Вы можете очень быстро установить UCS через Сайт Univention. В Сайт Unixmen также недавно опубликовал хорошее краткое руководство по установке UCS.
Ты ищешь smbkrb5pwd наложение?
Если вы находитесь на начальном этапе, я бы оценил Heimdal Kerberos, который хранит данные krb непосредственно в записи данных пользователя и для которого существует официальное и вполне поддерживаемое наложение синхронизации: smbk5pwd.
Да, вы можете их синхронизировать.
Взгляните на это:
http://raerek.blogspot.it/2012/08/kerberos-with-ldap-backend-on-ubuntu.html