SASL
Um SASL beim OpenLDAP Server zu aktivieren, ergänzt man
die Konfiguration in /etc/openldap/slapd.conf um
einige Zeilen:
... sasl-host kerberos.mydomain.de sasl-realm MYDOMAIN.DE #sasl-secprops none srvtab /etc/openldap/krb5.keytab ...
Achtung! Die Option srvtab gilt nur für
Kerberos Version 4. Bei der aktuellen Version 5 wird die Keytab stattdessen
mit Hilfe der Umgebungsvariable KRB5_KTNAME festgelegt.
Zuordnung: SASL/Kerberos zu LDAP Benutzern:
Nach erfolgreichem Kerberos Login kann man sich mit ldapwhoami
die eigene Idendität anzeigen lassen:
linux ~> ldapwhoami SASL/GSSAPI authentication started SASL username: user1@MYDOMAIN.DE SASL SSF: 56 SASL installing layers dn:uid=user1,cn=mydomain.de,cn=gssapi,cn=auth
Die SASL AuthCID kann man auch auf einen LDAP Account abbilden lassen:
...
# Kerberos mapping
sasl-regexp
uid=(.+),cn=(.+),cn=(.+),cn=auth
ldap:///dc=mydomain,dc=de??sub?(|(uid=$1)(krb5PrincipalName=$1@$2))
sasl-regexp
uidnumber=0\\\+gidnumber=0,cn=peercred,cn=external,cn=auth
cn=Manager,dc=rrze,dc=uni-erlangen,dc=de
...
linux ~> ldapwhoami SASL/GSSAPI authentication started SASL username: user1@LINUXRRZE.DE SASL SSF: 56 SASL installing layers dn:cn=User Name 1,ou=people,dc=mydomain,dc=de
Die verfügbaren SASL Methoden kann man mit folgendem Kommando erfragen:
linux ~# ldapsearch <...> -b "" -s base -LLL supportedSASLMechanisms dn: supportedSASLMechanisms: GSSAPI supportedSASLMechanisms: ANONYMOUS supportedSASLMechanisms: CRAM-MD5 supportedSASLMechanisms: DIGEST-MD5 supportedSASLMechanisms: LOGIN supportedSASLMechanisms: PLAIN
Achtung! - SuSE hat die einzelnen SASL Verfahren die die Cyrus SASL Implementierung unterstützt in separate Pakete gepackt. Das obige Kommando liefert nur die installierten Verfahren. Werden weitere benötigt, so müssen diese noch installiert werden:
cyrus-sasl cyrus-sasl-crammd5 cyrus-sasl-digestmd5 cyrus-sasl-gssapi cyrus-sasl-otp cyrus-sasl-plain
zum Seitenanfang
Navigation ausblenden
