Kerberos & LDAP user anlegen
Hallo, Ich teste gerade krb5 & ldap zum ersten mal ;) und da gibt es VIELE.... Probleme. Ist es eigentlich möglich einem existierendem ldap user (YaST2 User Modul angelegt) die kerberos "Attribute" aufs Auge zu drücken ;). Denn sonst wird ja eine eigener User für krb5 erzeugt der dann aber Probleme mit dem YaST2 Modul user macht, wenn er den selben Namen trägt. Kann das irgendwie zusammengeführt werden. Oder braucht es dazu so ein Module im Ldap wie z.B. Mailserver was dann die Email Adressen zuordnet. Über Anregungen würde ich mich freuen, ich finde nämlich nichts passendes :(, -- mit freundlichen Grüßen / best Regards. Günther J. Niederwimmer -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Am Fri, 04 Jan 2013 16:51:13 +0100 schrieb Günther J. Niederwimmer <gjn@gjn.priv.at>:
Hallo,
Ich teste gerade krb5 & ldap zum ersten mal ;) und da gibt es VIELE.... Probleme.
Ist es eigentlich möglich einem existierendem ldap user (YaST2 User Modul angelegt) die kerberos "Attribute" aufs Auge zu drücken ;).
Es gibt keine Kerberos Attribute in LDAP!
Denn sonst wird ja eine eigener User für krb5 erzeugt der dann aber Probleme mit dem YaST2 Modul user macht, wenn er den selben Namen trägt.
Nein, da denkst du um drei Ecken, Kerberos User werden in Kerberos verwaltet und sollten auch in LDAP vorhanden sein.
Kann das irgendwie zusammengeführt werden.
Oder braucht es dazu so ein Module im Ldap wie z.B. Mailserver was dann die Email Adressen zuordnet.
Über Anregungen würde ich mich freuen, ich finde nämlich nichts passendes :(,
Sofern du OpenLDAP und SASL2 einsetzen möchtest, benötigst du nur einen KDC, also ein Key Distribution Center (sprich Kerberos Server), dazu noch das PAM Module pam_krb5, vielleicht genügt auch pam_unix2, das solltest du in der Doku zu diesen PAM-Modulen nachlesen. Eigentlich ist das ganz simpel und in 10 Minuten eingerichet. Entsprechend der Krb5-Doku KDC und Principals einrichten, denke daran für den LDAP-Server sowohl einen Service Pricipal als auch eine Host Prinzipal anzulegen. Die Authentifizierung erfolgt mittels SASL Mechanism GSSAPI. Vor langer Zeit, so etwa 2003, habe ich das mal ausführlich beschrieben und dokumentiert, die Seite ist leider nicht mehr online, da habe ich jetzt etwas anderes hingelegt. Ich krame mal meine alten Unterlagen raus, die müssten noch auf einem Backup-System lagern. Wenn du weitere Fragen hast, melde dich. -Dieter -- Dieter Klünter | Systemberatung http://dkluenter.de GPG Key ID:DA147B05 53°37'09,95"N 10°08'02,42"E -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Am Fri, 04 Jan 2013 16:51:13 +0100 schrieb Günther J. Niederwimmer <gjn@gjn.priv.at>:
Hallo,
Ich teste gerade krb5 & ldap zum ersten mal ;) und da gibt es VIELE.... Probleme.
Ist es eigentlich möglich einem existierendem ldap user (YaST2 User Modul angelegt) die kerberos "Attribute" aufs Auge zu drücken ;).
Denn sonst wird ja eine eigener User für krb5 erzeugt der dann aber Probleme mit dem YaST2 Modul user macht, wenn er den selben Namen trägt.
Kann das irgendwie zusammengeführt werden.
Oder braucht es dazu so ein Module im Ldap wie z.B. Mailserver was dann die Email Adressen zuordnet.
Über Anregungen würde ich mich freuen, ich finde nämlich nichts passendes :(,
Noch einen Nachtrag. In meiner ersten Mail habe ich beschrieben, dass 2 Userdatenbänke vorhanden sein sollten. Du hast natürlich auch die Möglichkeit, den LDAP-Server gleichzeitig als Datenbank für Kerberos zu verwenden. Dies ist sowohl mit Heimdal als auch mit MIT-Krb5 in der aktuellen Version möglich. Dazu muss Krb5 mit libldap kompiliert werden. Ich vermag allerdings nicht zu sagen, ob dies von den Maintainern so gehandhabt wird. -Dieter -- Dieter Klünter | Systemberatung http://dkluenter.de GPG Key ID:DA147B05 53°37'09,95"N 10°08'02,42"E -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Hallo Dieter, danke das ich mich melden kann ;). Am Freitag, 4. Januar 2013, 18:37:35 schrieb Dieter Klünter:
Am Fri, 04 Jan 2013 16:51:13 +0100
schrieb Günther J. Niederwimmer <gjn@gjn.priv.at>:
Hallo,
Ich teste gerade krb5 & ldap zum ersten mal ;) und da gibt es VIELE.... Probleme.
Ist es eigentlich möglich einem existierendem ldap user (YaST2 User Modul angelegt) die kerberos "Attribute" aufs Auge zu drücken ;).
Denn sonst wird ja eine eigener User für krb5 erzeugt der dann aber Probleme mit dem YaST2 Modul user macht, wenn er den selben Namen trägt.
Kann das irgendwie zusammengeführt werden.
Oder braucht es dazu so ein Module im Ldap wie z.B. Mailserver was dann die Email Adressen zuordnet.
Über Anregungen würde ich mich freuen, ich finde nämlich nichts passendes :(,
Noch einen Nachtrag. In meiner ersten Mail habe ich beschrieben, dass 2 Userdatenbänke vorhanden sein sollten. Du hast natürlich auch die Möglichkeit, den LDAP-Server gleichzeitig als Datenbank für Kerberos zu verwenden. Dies ist sowohl mit Heimdal als auch mit MIT-Krb5 in der aktuellen Version möglich. Dazu muss Krb5 mit libldap kompiliert werden. Ich vermag allerdings nicht zu sagen, ob dies von den Maintainern so gehandhabt wird.
Ich habe es mit einem gemeinsamen ldap Server gemacht, das YaST Modul Kerberos Server erlaubt diese Möglichkeit. Dadurch scheint es auch Probleme mit den Usern zu geben, es ist zum Beispiel möglich in ldap einen User anzulegen und den auch danach mit kerberos anzulegen, umgekehrt geht es nicht, also einen kerberos user "normal" (YaSt Modul) in ldap anzulegen. Da meint dann ldap den user gibt es schon irgendwie? Ich habe was gefunden, was aber anscheinend nicht so funktioniert wie ich glaubte. ich habe das gefunden. addprinc -x dn="uid=steve,ou=people,dc=XXXX,dc=XXXX" steve aber anscheinend funktioniert das mit SUSE nicht so. -- mit freundlichen Grüßen / best Regards. Günther J. Niederwimmer -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Am Fri, 04 Jan 2013 19:50:25 +0100 schrieb Günther J. Niederwimmer <gjn@gjn.priv.at>:
Hallo Dieter,
danke das ich mich melden kann ;).
Hallo Günther, deine Spamfilter verhindern, dass ich auf die PM direkt antworten kann. Da müssen wir eine Lösung finden. -Dieter -- Dieter Klünter | Systemberatung http://dkluenter.de GPG Key ID:DA147B05 53°37'09,95"N 10°08'02,42"E -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
participants (2)
-
Dieter Klünter -
Günther J. Niederwimmer