PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Passwort Sync LDAP <-> MIT Kerberos



zielscheibe
07.12.12, 15:54
Hallo NG,

ich benötige für NFS4 eine Authentifizierung gegen Kerberos. Im Moment würde ich gerne die anderen Dienste,
die direkt gegen den LDAP authentifizieren so belassen und später erst alles gegen Kerberos laufen lassen.
Das funktioniert auch im Moment problemlos. Das Problem ist nur, dass die Benutzer jetzt ein "Kerberos-PW"
und ein "LDAP-PW" haben. Wie kann ich diese synchronisieren?
Für Heimdal gibt es das Paket "slapd-smbk5pwd" was dies wohl ermöglicht, nur leider gibt es das für MIT nicht :(
Kann man evtl. mit PAM was machen, dass der Benutzer bei "passwd" 2x sein PW eingeben muss und dann
das PW einmal in den LDAP und einmal in Kerberos geschrieben wird? (Mir ist bewusst, dass der Benutzer dann
unterschiedliche PWs eingeben könnte. Aber für den Übergang würde das vollkommen reichen.)

nopes
08.12.12, 17:51
tausch doch passwd aus, bzw. biete eine Alternative an...
#!/usr/bin/perl
use Term::ReadKey;
my $password1;
my $password2;
print "Type your password:";
ReadMode('noecho'); # don't echo
chomp(my $password2 = <STDIN>);
print "Confirm your password:";
chomp(my $password2 = <STDIN>);
ReadMode(0); # back to normal
if($password1 eq $password2) {
#ldap
...
#kerberos
...
}
else {
print "Passwords are not identical!\n";
exit 1;
}
exit 0;

TheDarkRose
08.12.12, 18:01
Lässt sich Kerberos nicht so konfigurieren, dass es das Attribut userPassword verwendet?

zielscheibe
10.12.12, 15:57
Das mit dem Austausch von passwd mag eine Lösung sein, aber mir hat etwas konventionelleres vorgeschwebt :D

Kannst du genauer erklären, wie das mit "Attribut userPassword" funktioniert?

zielscheibe
28.01.13, 14:24
Eine Möglichkeit das Problem mit zwei Passwörter zu umgehen ist die "Pass-through authentication".

Siehe hier (englisch)
http://thomas.dereyck.eu/wiki/Setting%20up%20an%20LDAP%20server

oder hier (deutsch)
http://wiki.ubuntuusers.de/Kerberos/LDAP