On Wed, 2007-12-05 at 10:50 +0100, Muriel wrote:
>
>
> On Dec 4, 2007 10:52 AM, Stefanelli Mirko
> <[EMAIL PROTECTED]> wrote:
> Ciao,
>
> ti ringrazio del suggerimento, ho già letto il doc
> (complimenti) che mi hai allegato, ma all'interno del doc tra
> i parametri per la compilazione del openldap utilizzi
> l'opzione --enable-kpasswd, ma nella versione che utilizzo
> openldap2.3.39 tale paramentro non è presente
> (eseguendo ./configure --help). Nell'attributo userPassword
> utilizzi la direttiva {KERBEROS}, ed anche di questa direttiva
> non ho trovato traccia nella documentazione openldap, mi pare
> di aver capito che adesso il tutto si basa su cyrus sasl e
> GSSAPI, ma non ho ancora capito come sfruttare tale componente
> e configurare lo slapd.
>
> Nel mio caso, prendendo spunto dal tuo documento, se configuro
> la userPassword con la direttiva {KERBEROS} il mio slapd la
> "scrive" in formato {SHA}, cioè viene calcolato lo SHA della
> direttiva {KERBEROS}+principal.
>
> Qualche idea?
>
> Parecchio tempo fa Pierangelo mi aveva detto che "--enable-kpasswd"
> era preistoria.. penso che ora si sia fossilizzato del tutto :)
> Noi avevamo risolto con sasl e gssapi, niente userPassword ma
> sasl-regexp. Sinceramente non penso sia possibile fare il cambio
> password sul kerberos da ldap, ma lascio la parola agli esperti che
> sapranno risponderti con certezza.
> Noi prima effettuavamo il "login" sul kerberos e poi con il ticket
> ottenuto interrogavamo ldap per avere i dati dell'utente (tutto
> tramite un moduletto del pam).
> Sarei curioso di sapere se ci sono state novità a riguardo...
Non sono sicuro sia gia' disponibile per OpenLDAP, per vari motivi io al
momento sto lavorando su Fedora DS e ho creato una slapi plugin per il
progetto FreeIPA che intercetta passwd extop e crea nuovi hash che MIT
Kerberos legge da LDAP.
Allo stesso modo e' abbastanza semplice anche creare una slapi plugin o
un overlay che intercetti passwd extop e invece usi le credenziali di
kpasswd/[EMAIL PROTECTED] o altro principal creato ad hoc di cui il server
ldap puo' accedere alle credenziali via keytab e che per operare un
cambio password usando il protocollo kpasswd (Io ho attualmente
implementato il contrario pure, ovvero un demone kpasswd che poi usa
passwd extop contro ldap), per operare il cambio password sul KDC.
Ovviamente rimane anche la semplice mossa si vietare qualsiasi cambio
password sul server ldap e forzare gli utenti ad usare kpasswd. Questa
via e' certamente piu' semplice e non costringe a sbattere la testa
sulle API di kerberos (usare una versione recente btw, vecchie versioni
sono particolarmente thread-UNsafe).
Simo.
_______________________________________________
OpenLDAP mailing list
[email protected]
https://www.sys-net.it/mailman/listinfo/openldap
