Kerberos,saslauthd und openldap

Alle weiteren Dienste, die nicht in die drei oberen Foren gehören.
Antworten
Benutzeravatar
a-tobias
Beiträge: 164
Registriert: 11.03.2006 14:12:11
Wohnort: Dortmund

Kerberos,saslauthd und openldap

Beitrag von a-tobias » 04.04.2007 13:40:44

Mal wieder Kerberos... Ich hoffe irgendjemand hat etwas erfahrungen damit.
Irgendwie hab ich da auch leichte Verständniss Probleme.

Also, ich bi mittlerweile soweit das ich mich sowohl gegen Kerberos als auch gegen Openldap authentifizieren kann.

Ich kann sogar das TGT vom KDC verwenden um per SASL/TLS auf ldap zuzugreifen. z.b. <ldapwhoami>.

Jetzt gibt es aber zum Beispiel den apache, der keinen strong Bind kann. Das läuft also per simple bind. Ich möchte jetzt aber, das im openldap (userpassword) der verweis drin steht, das er das passwort bei kerberos anfragt.
Ich hab da jetzt 1000 sachen gefunden, aber nichts geht.

* {KERBEROS}user@REALM
* {GSSAPI}user@REALM

und

{SASL}user@REALM. (Das geht im Prinzip, nur will ldap immer auf die sasldb zugreifen. Wenn ich da den user anlege gehts, aber das will ich ja nicht.) P.S mittlerweile bekomme ich hier eh die Fehlermeldung, das er den saslauthd server nicht findet.

Das Grundlegende Problem ist halt, wenn ich den user gegen Kerberos bei APACHE authentifiziere, kommt er nur rein wenn er ein TGT hat. Das ist soweit ja auch gut, aber wenn ich jetzt user habe, die sich beim KDC anmelden dürfen, aber kein zugriff auf den apache haben sollen, hab ich ja keine Kontrolle.

Wenn ich die authentifiezierung beim APACHE über ldap mache geht es auch, da kann ich ja auf die Gruppenzugehörigkeit prüfen. Aber hier wird das passwort ja von ldap benutzt und der KDC ist aussen vor.

Vielleicht kann mir ja jemand helfen.

Gruß Tobias
Zuletzt geändert von a-tobias am 04.04.2007 19:28:34, insgesamt 1-mal geändert.
Nach oben
Benutzeravatar
a-tobias
Beiträge: 164
Registriert: 11.03.2006 14:12:11
Wohnort: Dortmund

Beitrag von a-tobias » 04.04.2007 14:45:06

Also es funktioniert fast.

ein blick in den verbose modus von saslauthd zeigt

Code: Alles auswählen

saslauthd[15707] :do_auth         : auth failure: [user=tob] [service=ldap] [realm=SKYNET] [mech=kerberos5] [reason=saslauthd internal error]
und das kdc log

Code: Alles auswählen

Apr 04 14:41:56 cerebro krb5kdc[30076](info): AS_REQ (5 etypes {18 23 16 1 3}) 192.168.x.70: ISSUE: authtime 1175690516, etypes {rep=16 tkt=16 ses=16}, tob@SKYNET for krbtgt/SKYNET@SKYNET
Also schein es zu gehen, nur irgendwie is noch was falsch. hat das ws mit der regexp in der slapd.conf (openldap) zu tun ?
Nach oben
Benutzeravatar
a-tobias
Beiträge: 164
Registriert: 11.03.2006 14:12:11
Wohnort: Dortmund

Beitrag von a-tobias » 04.04.2007 19:30:23

kann das ganze vielleicht etwas eingrenzen

hab mal das versucht :

Code: Alles auswählen

sasl-sample-server
sasl-sample-client

GSSAPI geht.
Aber wenn ich die client antwort an den server schicken kommt :

Code: Alles auswählen

sasl-sample-server: SASL Other: GSSAPI Error: Miscellaneous failure (No principal in keytab matches desired name)
sasl-sample-server: Starting SASL negotiation: generic failure (generic failure)
Aber user und host sind als principal drin !
Nach oben
Antworten

Zurück zu „weitere Dienste“