El Jueves, 18 de Enero de 2007 19:55, Iñaki escribió: > El Jueves, 18 de Enero de 2007 18:50, Federico Lazcano escribió: > > El Miércoles, 17 de Enero de 2007 21:07, Iñaki escribió: > > Aquí tenemos un entorno mixto de Kerberos y LDAP, y si, hay que usar > > scripts para sincronizar las contraseñas de Kerberos y LDAP, y cada > > usuario debe existir en LDAP y en K. > > > > La necesidad de separarlo surgió pues algunas aplicaciones legacy no hubo > > manera de hacerlas andar con Kerberos. > > Gracias por aclararlo. No obstante sí me atrevo a sugerirte que existe la > forma de que LDAP autentique los usuarios contra Kerberos, es decir, que > una aplicación trate de hacer un bind en OpenLDAP y que el servidor > OpenLDAP (de forma transparente) consulte el password a Kerberos, todo esto > sin que el cliente siquiera soporte Kerberos. > Para ello había que poner algo en el slapd.conf en plan: > dn=cn=Nombre_Usuario,dc=GSSAPI.... > (algo así, es como una excepción dentro de OpenLDAP).
Por recalcarlo y explicarlo un poco mejor: que no hace falta que la contraseña del usuario esté guardada en openLDAP, pero la aplicación cliente (que no soporta Kerberos) va a poder loguearse contra LDAP y OpenLDAP se encargará de consultar a Kerberos. -- Iñaki Por el bien de todos respetemos las normas de la lista: http://wiki.debian.org/NormasLista
