Домен/GSSAPI

Материал из ALT Linux Wiki

Инструкция по обеспечению аутентификации в сервере LDAP через Kerberos (без паролей).

Установка программного обеспечения

Предполагается, что создан домен test.altlinux. То есть запущены настроенные службы OpenLDAP и Kerberos и Kerberos хранит принципалов в базе LDAP.

Установите пакет libsasl2-plugin-gssapi:

apt-get install libsasl2-plugin-gssapi

Настройка

1. Сгенерируйте keytab для сервера LDAP:

. /usr/bin/alterator-kdc-princ-functions
addprinc ldap
ktadd /etc/openldap/ldap.keytab ldap

Этот файл (если существует) автоматически используется в службе slapd.

2. Создайте файл конфигурации SASL:

mkdir /etc/openldap/sasl2
echo "mech_list: GSSAPI" > /etc/openldap/sasl2/slapd.conf

3. Добавьте в /etc/openldap/slapd.conf строку

sasl-realm TEST.ALTLINUX

4.

Ссылки