Домен/GSSAPI: различия между версиями
Нет описания правки |
|||
(не показаны 4 промежуточные версии 1 участника) | |||
Строка 6: | Строка 6: | ||
== Настройка на сервере == | == Настройка на сервере == | ||
1. Установите пакет {{Pkg|libsasl2-plugin-gssapi}}: | |||
apt-get install libsasl2-plugin-gssapi | |||
update_chrooted all | |||
/etc/init.d/slapd restart | |||
Проверка поддержки GSSAPI в сервере LDAP: | |||
# ldapsearch -x -LLL -b "" -s base supportedSASLMechanisms | grep GSSAPI | |||
supportedSASLMechanisms: GSSAPI | |||
2. Для использования механизма GSSAPI совместно с slapd(8) сначала нужно создать сервисный ключ с принципалом (principal) для сервиса ldap в области (realm) для хоста, на котором запущена служба каталога. | |||
Создайте принципала и сгенерируйте keytab для сервера LDAP: | |||
. /usr/bin/alterator-kdc-princ-functions | . /usr/bin/alterator-kdc-princ-functions | ||
Строка 16: | Строка 25: | ||
Этот файл (если существует) автоматически используется в службе slapd. | Этот файл (если существует) автоматически используется в службе slapd. | ||
3. Для используемых баз пропишите отображение DN запроса аутентификации в аутентификационный DN пользователя: | |||
ldap-dn | base="$(system-auth status | cut -f2 -d' ')" | ||
echo -e "\nauthz-regexp\n\tuid=([^,]*),cn=[^,]*,cn=auth\n\tuid=\$1,ou=People,$ | file="$(ldap-dn find "$base")" | ||
echo -e "\nauthz-regexp\n\tuid=([^,]*),cn=[^,]*,cn=auth\n\tuid=\$1,ou=People,$base" >> "$file" | |||
''Примечение:'' сделано только для системной базы, так как отображение на других базах может перебить системную. | |||
Например, в файле {{path|/etc/openldap/slapd-test.altlinux.conf}} появится запись | Например, в файле {{path|/etc/openldap/slapd-test.altlinux.conf}} появится запись | ||
Строка 25: | Строка 37: | ||
uid=$1,ou=People,dc=test,dc=altlinux</pre> | uid=$1,ou=People,dc=test,dc=altlinux</pre> | ||
4. Перезапустите службу LDAP (slapd): | |||
service slapd restart | service slapd restart | ||
Строка 52: | Строка 64: | ||
SASL data security layer installed. | SASL data security layer installed. | ||
dn:uid=l1,ou=people,dc=test,dc=altlinux</pre> | dn:uid=l1,ou=people,dc=test,dc=altlinux</pre> | ||
'''Внимание!''' Обратите внимание, что для вызова любых программ работы с LDAP с клиента нужно указать параметр '''-Y GSSAPI''' | |||
== Доступ только к полям LDAP для текущего пользователя == | == Доступ только к полям LDAP для текущего пользователя == | ||
Строка 64: | Строка 78: | ||
by * none</pre> | by * none</pre> | ||
''' | Проверка на клиенте: | ||
<pre># ldapsearch -LLL -H 'ldaps://ldap' -Y GSSAPI -b 'dc=test,dc=altlinux' '(uid=l1)' mail 2>/dev/null | |||
dn: uid=l1,ou=People,dc=test,dc=altlinux | |||
mail: l1@test.altlinux | |||
[root@host-15 ~]# ldapsearch -LLL -H 'ldaps://ldap' -Y GSSAPI -b 'dc=test,dc=altlinux' '(uid=cas)' mail 2>/dev/null | |||
dn: uid=cas,ou=People,dc=test,dc=altlinux</pre> | |||
Как видите, поле своей записи пользователь видит, а чужой — уже нет. | |||
== Ссылки == | == Ссылки == | ||
Строка 70: | Строка 92: | ||
* [http://pro-ldap.ru/tr/admin24/sasl.html Глава «Использование SASL» на сайте http://pro-ldap.ru] | * [http://pro-ldap.ru/tr/admin24/sasl.html Глава «Использование SASL» на сайте http://pro-ldap.ru] | ||
{{Category navigation|title=Домен|category=Домен|sortkey={{SUBPAGENAME}}}} |
Текущая версия от 15:44, 2 июля 2015
Инструкция по обеспечению аутентификации в сервере LDAP через Kerberos (без паролей).
Установка программного обеспечения
Предполагается, что создан домен test.altlinux. То есть запущены настроенные службы OpenLDAP и Kerberos и Kerberos хранит принципалов в базе LDAP.
Настройка на сервере
1. Установите пакет libsasl2-plugin-gssapi:
apt-get install libsasl2-plugin-gssapi update_chrooted all /etc/init.d/slapd restart
Проверка поддержки GSSAPI в сервере LDAP:
# ldapsearch -x -LLL -b "" -s base supportedSASLMechanisms | grep GSSAPI supportedSASLMechanisms: GSSAPI
2. Для использования механизма GSSAPI совместно с slapd(8) сначала нужно создать сервисный ключ с принципалом (principal) для сервиса ldap в области (realm) для хоста, на котором запущена служба каталога.
Создайте принципала и сгенерируйте keytab для сервера LDAP:
. /usr/bin/alterator-kdc-princ-functions addprinc ldap/$(hostname) ktadd /etc/openldap/ldap.keytab ldap/$(hostname)
Этот файл (если существует) автоматически используется в службе slapd.
3. Для используемых баз пропишите отображение DN запроса аутентификации в аутентификационный DN пользователя:
base="$(system-auth status | cut -f2 -d' ')" file="$(ldap-dn find "$base")" echo -e "\nauthz-regexp\n\tuid=([^,]*),cn=[^,]*,cn=auth\n\tuid=\$1,ou=People,$base" >> "$file"
Примечение: сделано только для системной базы, так как отображение на других базах может перебить системную.
Например, в файле /etc/openldap/slapd-test.altlinux.conf появится запись
authz-regexp uid=([^,]*),cn=[^,]*,cn=auth uid=$1,ou=People,dc=test,dc=altlinux
4. Перезапустите службу LDAP (slapd):
service slapd restart
Настройка на клиенте
1. Установите пакет libsasl2-plugin-gssapi:
apt-get install libsasl2-plugin-gssapi
2. Получите тикет Kerberos и убедитесь, что тикет получен:
# kinit l1 Password for l1@TEST.ALTLINUX: # klist Ticket cache: FILE:/tmp/krb5cc_0 Default principal: l1@TEST.ALTLINUX Valid starting Expires Service principal 01/10/13 19:41:11 01/11/13 19:41:11 krbtgt/TEST.ALTLINUX@TEST.ALTLINUX renew until 01/10/13 19:41:11
3. Проверим доступ к LDAP без пароля:
# ldapwhoami -Y GSSAPI SASL/GSSAPI authentication started SASL username: l1@TEST.ALTLINUX SASL SSF: 56 SASL data security layer installed. dn:uid=l1,ou=people,dc=test,dc=altlinux
Внимание! Обратите внимание, что для вызова любых программ работы с LDAP с клиента нужно указать параметр -Y GSSAPI
Доступ только к полям LDAP для текущего пользователя
В начале файла конфигурации базы, например,
# ldap-dn find $(system-auth status | cut -f2 -d' ') /etc/openldap/slapd-test.altlinux.conf
пропишите права доступа к полю:
access to attrs=mail by self read by * none
Проверка на клиенте:
# ldapsearch -LLL -H 'ldaps://ldap' -Y GSSAPI -b 'dc=test,dc=altlinux' '(uid=l1)' mail 2>/dev/null dn: uid=l1,ou=People,dc=test,dc=altlinux mail: l1@test.altlinux [root@host-15 ~]# ldapsearch -LLL -H 'ldaps://ldap' -Y GSSAPI -b 'dc=test,dc=altlinux' '(uid=cas)' mail 2>/dev/null dn: uid=cas,ou=People,dc=test,dc=altlinux
Как видите, поле своей записи пользователь видит, а чужой — уже нет.