Re: ldap und kerberos

To: debian-user-german@lists.debian.org
Subject: Re: ldap und kerberos
From: Peter Jordan <usernetwork@gmx.info>
Date: Sat, 06 Jun 2009 17:24:06 +0200
Message-id: <[🔎] h0e1mm$js1$1@ger.gmane.org>
In-reply-to: <[🔎] 87ws7pva0u.fsf@gschromm.news.arcor.de>
References: <[🔎] h0detv$7n3$1@ger.gmane.org> <[🔎] 87ws7pva0u.fsf@gschromm.news.arcor.de>

Gerhard Schromm, Sat Jun 06 2009 14:09:37 GMT+0200 (CEST):

On 2009-06-06, Peter Jordan wrote:

Ist es möglich, dass sich die ldap-clients mit einem kerberos ticket
beim ldap-server anmelden können?


ja. via SASL


Ok, ich werde mal googlen.

An verschiedenen Stellen ist von "MIT Kerberos LDAP backend" die
Rede. Verstehe ich das richtig, dass hiermit gemeint ist, dass die
Datenbank des KDC auf dem ldap server gespeichert wird, statt auf dem
kdc selbst?


Ich vermute ja (ich spiele hier mit heimdal Kerberos herum), da geht das
auch.

Wie sinnvoll wäre eine solche Konfiguration?


Wenn die Benutzerdaten schon zentral im LDAP stecken, sprich ohne LDAP
kann man sich eh nicht mehr einloggen, könnte es sinnvoll sein auch die
Kerberos-Principals dahin zu verschieben.

Allerdings baut man damit auch einen "single point of failure". Und
Sicherheitslücken im LDAP-Server gefährden halt auch die Kerberos-Daten.

Man muss also abwägen.

Bringt das Vorteile bei der Nutzerverwaltung, indem ich für einen neuenNutzer das principle direkt in die ldap datenbank einfüge statt über kadmin?


Gruß,

PJ

Reply to:

Follow-Ups:
- Re: ldap und kerberos
  - From: Gerhard Schromm <gschromm-spam@arcor.de>

References:
- ldap und kerberos
  - From: Peter Jordan <usernetwork@gmx.info>
- Re: ldap und kerberos
  - From: Gerhard Schromm <gschromm-spam@arcor.de>

Prev by Date: Re: Externe USB-Platte verhindert Boot-Vorgang -- GELÖST !!
Next by Date: Re: Externe USB-Platte verhindert Boot-Vorgang -- GELÖST !!
Previous by thread: Re: ldap und kerberos
Next by thread: Re: ldap und kerberos
Index(es):
- Date
- Thread