Re: ldap und kerberos
Peter Jordan schrieb:
> Gerhard Schromm, Sat Jun 06 2009 17:57:13 GMT+0200 (CEST):
>> On 2009-06-06, Peter Jordan wrote:
>>
>>> Ok, ich werde mal googlen.
>>
>> Wenn du das selber kompilierst, ist das im wesentlichen nur eine
>> configure-Option.
>
> Ok ;-)
>
>>
>>> Bringt das Vorteile bei der Nutzerverwaltung, indem ich für einen
>>> neuen Nutzer das principle direkt in die ldap datenbank einfüge statt
>>> über kadmin?
>>
>> Das wäre möglich, wenn man die dafür nötigen Daten außerhalb von
>> Kerberos erzeugen könnte. Die Principals sind ja "nur" LDAP-Einträge.
>>
>> Wenn ich aber Kerberos richtig verstanden habe, ist die Datenbank ja
>> kryptographisch gesichert, man muss also den Schlüssel der Datenbank
>> kennen um da passende Einträge zu produzieren. Letzten Endes wird man
>> wohl mit kadmin arbeiten müssen.
>
> Also keine nennenswerten Vorteile, ich werde ldap nicht als backend für
> kerberos verwenden.
>
> Vielen Dank für die Antworten,
>
> PJ
>
>
Ich habe die Liste 'ne Weile mangels Zeit nicht lesen können. Deshalb
etwas spät...
Schau mal in 'OpenLDAP 2.4 - Das Praxisbuch' von Liebel/Ungar, Galileo
Computing. Da wird das Setup beschrieben und besprochen.
Der 'Witz' besteht darin, daß durch die Kombination mit OpenLDAP der
Kerberos, der seine Daten ohnehin in einer BDB hält, in die Lage
versetzt wird, inkrementell zu replizieren. Alleine kann er nur einen
Full-Dump übertragen (zumindest der MIT KRB5).
Die KRB-Daten sind dabei wohl an die Objekte im LDAP-Baum gebunden. Um
die entsprechenden KRB-Befehle kommt man aber anscheinend nicht herum.
Gruß
Berthold
Reply to: