Re: ldap und kerberos

To: debian-user-german@lists.debian.org
Subject: Re: ldap und kerberos
From: Gerhard Schromm <gschromm-spam@arcor.de>
Date: Sat, 06 Jun 2009 14:09:37 +0200
Message-id: <[🔎] 87ws7pva0u.fsf@gschromm.news.arcor.de>
In-reply-to: <[🔎] h0detv$7n3$1@ger.gmane.org> (Peter Jordan's message of "Sat, 06 Jun 2009 12:03:43 +0200")
References: <[🔎] h0detv$7n3$1@ger.gmane.org>

On 2009-06-06, Peter Jordan wrote:
> Ist es möglich, dass sich die ldap-clients mit einem kerberos ticket
> beim ldap-server anmelden können?

ja. via SASL

> An verschiedenen Stellen ist von "MIT Kerberos LDAP backend" die
> Rede. Verstehe ich das richtig, dass hiermit gemeint ist, dass die
> Datenbank des KDC auf dem ldap server gespeichert wird, statt auf dem
> kdc selbst?

Ich vermute ja (ich spiele hier mit heimdal Kerberos herum), da geht das
auch.

> Wie sinnvoll wäre eine solche Konfiguration?

Wenn die Benutzerdaten schon zentral im LDAP stecken, sprich ohne LDAP
kann man sich eh nicht mehr einloggen, könnte es sinnvoll sein auch die
Kerberos-Principals dahin zu verschieben.

Allerdings baut man damit auch einen "single point of failure". Und
Sicherheitslücken im LDAP-Server gefährden halt auch die Kerberos-Daten.

Man muss also abwägen.

bye Gerhard
-- 
Encrypted Mails preferred; GPG-Key: 0xDA3CCF45
Fingerprint = 61AD 255A 34C9 1050 65BD  0523 E527 CA4B DA3C CF45
"As you journey through life take a minute every now and then to give a
thought for the other fellow. He could be plotting something."
        -- Hagar the Horrible

Reply to:

Follow-Ups:
- Re: ldap und kerberos
  - From: Peter Jordan <usernetwork@gmx.info>

References:
- ldap und kerberos
  - From: Peter Jordan <usernetwork@gmx.info>

Prev by Date: Re: GNOME und Autostart
Next by Date: Re: Externe USB-Platte verhindert Boot-Vorgang
Previous by thread: ldap und kerberos
Next by thread: Re: ldap und kerberos
Index(es):
- Date
- Thread