LDAP Kerberos Passwortspeicher (SASL)

Alle weiteren Dienste, die nicht in die drei oberen Foren gehören.
joe2017
Beiträge: 229
Registriert: 07.08.2017 14:29:51

LDAP Kerberos Passwortspeicher (SASL)

Beitrag von joe2017 » 20.07.2018 11:42:45

Hallo zusammen,

ich habe eine Frage zu dem Thema LDAP und Kerberos Server. Ich komme hier irgendwie nicht weiter und glaube, dass ich einfach nur einen Denkfehler mache.

Ich habe einen LDAP und einen Kerberos Server. Meinen LDAP Server habe ich auch als Keystore eingerichtet. Ich habe meine LDAP Benutzer mit den entsprechenden Gruppenzugehörigkeiten und einen gleichnamigen Kerberos Benutzer welcher für die Authentifizierung verwendet wird. Ich kann mich auch an meinem Client und meinem NFS4 Server Authentifizieren. Das Problem ist nur, dass für beide Benutzer (LDAP/Kerberos) ein Passwort existiert. Kann dies nicht synchronisert werden, bzw. nur an einer Stelle hinterlegt werden?

Oder kann man die Kerberos Informationen zu einem bestehenden LDAP Benutzer anhängen und somit nur einen Benutzer mit Passwort anlegen?

Ich habe jetzt erst einmal auf meine gesamte Installationsbeschreibung verzichtet. Kann diese bzw. teile davon bei Fragen gerne posten.

Vielen Dank für einen Denkanstoß.
Zuletzt geändert von joe2017 am 21.08.2018 14:39:54, insgesamt 1-mal geändert.

joe2017
Beiträge: 229
Registriert: 07.08.2017 14:29:51

Re: LDAP Kerberos Passwortspeicher

Beitrag von joe2017 » 01.08.2018 10:10:09

Oder gibt es eine Möglichkeit beide Passwörter zu änder?

Ich habe zwar meine Konfigurationen von UBUNTU übernommen jedoch funktioniert das irgendwie nicht mehr. Wenn ich früher passwd ausgeführt habe wurde ich erst nach dem Kerbereos Passwort und anschließend noch einmal nach dem LDAP Passwort gefragt. Wo kann ich das im Client konfigurieren?

Benutzeravatar
bluestar
Beiträge: 638
Registriert: 26.10.2004 11:16:34
Wohnort: Rhein-Main-Gebiet

Re: LDAP Kerberos Passwortspeicher

Beitrag von bluestar » 05.08.2018 09:12:48

Wie soll denn dein Setup am Ende aussehen?

joe2017
Beiträge: 229
Registriert: 07.08.2017 14:29:51

Re: LDAP Kerberos Passwortspeicher

Beitrag von joe2017 » 06.08.2018 09:15:22

Naja, wie schon beschrieben.

- Entweder nur ein Passwort für LDAP/Kerberos Benutzer.
- oder die beiden Passwörter sysnchronisieren sich.
- oder ein Benutzer kann beide Passwörter ändern.

Das Problem ist, dass es auch Services gibt welche kein Kerberos sondern nur die LDAP authentication (Bsp. Thunderbird LDAP Adressbuch) verwenden. Wenn ich mit passwd mein Passwort ändere, wird aktuell nur das Kerberos Passwort abgefragt und geändert. Somit bleibt das LDAP Passwort noch das alte.

Benutzeravatar
bluestar
Beiträge: 638
Registriert: 26.10.2004 11:16:34
Wohnort: Rhein-Main-Gebiet

Re: LDAP Kerberos Passwortspeicher

Beitrag von bluestar » 06.08.2018 11:50:54

Du beschreibst dein Problem, nicht dein Setup, daher frage ich noch einmal nach:

Du möchtest LDAP UND Kerberos einsetzen?
Warum beides, reicht dir LDAP nicht?

Normalerweise, wenn man Kerberos und LDAP einsetzt, dann werden die Passwörter ausschließlich im Kerberos hinterlegt und nicht mehr im LDAP.

joe2017
Beiträge: 229
Registriert: 07.08.2017 14:29:51

Re: LDAP Kerberos Passwortspeicher

Beitrag von joe2017 » 06.08.2018 12:07:51

Ich habe einen LDAP Server welche meine Benutzer und Gruppen beinhaltet.
Ich habe einen (MIT) Kerberos Server welcher für die Authentication verantwortlich ist.

Eigentlich sollte laut der Beschreibung die Kennwörter im Kerberos gespeichert sein.
Ich kann mich an meinem Client auch an meinem Kerberos Server authentifizieren. Auch die Gruppenzugehörigkeiten für Bsp. mein NFS Server funktionieren.
Jedoch wenn ich mein Kerberos Passwort am Client mit passwd ändere, steht im LDAP immer noch das zuvor angelegte LDAP User Passwort.
Es gibt Services wie Z.B. mein LDAP Adressbuch für Thunderbird, welches lediglich die LDAP Benutzerinformationen abfragt. Selbstverständlich wäre es mir auch am liebsten wenn hier meine Kerberos Benutzerinformationen verwendet würden.

Das ist alles etwas verwirrend. Weshalb sind im LDAP immer noch die Passwörter gespeichert? Kann man den Kerberos Benutzer mit seinem Passwort nicht mit dem identischen LDAP Benutzer verknüpfen?

Benutzeravatar
bluestar
Beiträge: 638
Registriert: 26.10.2004 11:16:34
Wohnort: Rhein-Main-Gebiet

Re: LDAP Kerberos Passwortspeicher

Beitrag von bluestar » 06.08.2018 12:13:10

joe2017 hat geschrieben: ↑ zum Beitrag ↑
06.08.2018 12:07:51
Jedoch wenn ich mein Kerberos Passwort am Client mit passwd ändere, steht im LDAP immer noch das zuvor angelegte LDAP User Passwort.
Da liegt dein Fehler, deine LDAP dürfen kein Passwort im LDAP hinterlegt haben, sondern den Verweis auf den Kerberos-Server:

Code: Alles auswählen

userPassword: {SASL}username@REALM

joe2017
Beiträge: 229
Registriert: 07.08.2017 14:29:51

Re: LDAP Kerberos Passwortspeicher

Beitrag von joe2017 » 06.08.2018 12:31:56

bluestar hat geschrieben: ↑ zum Beitrag ↑
06.08.2018 12:13:10
Da liegt dein Fehler, deine LDAP dürfen kein Passwort im LDAP hinterlegt haben, sondern den Verweis auf den Kerberos-Server:

Code: Alles auswählen

userPassword: {SASL}username@REALM
Ich muss diese Info in dem LDAP User als Passwort Eintrag hinterlegen RICHTIG?

Code: Alles auswählen

userPassword: {SASL}username@REALM
Meine Kerberos Informationen sind in der LDAP Datenbank gespeichert. Der Eintrag in meinem LDAP User ist somit der Verweis auf mein Kerberos User Passwort?
Dann hätte ich somit meine LDAP Benutzer welche ich LDAP Gruppen für Berechtigungen etc. zuordnen kann, und lediglich ein Passwort welches für die Authentifizierung in meinem Kerberos Benutzern hinterlegt sind.

Mit passwd würde ich somit am Client mein Kerberos Passwort ändern können und alles andere würde somit weiterhin funktionieren. So hab ich das ganze jetzt verstanden.
Muss hierfür am LDAP / Kerberos Server noch etwas konfiguriert werden?

Das wäre natürlich die einzig RICHTIGE Lösung! Perfekt! Werde ich später gleich testen. Ich gebe auf jeden Fall noch einmal eine Rückmeldung.

Benutzeravatar
bluestar
Beiträge: 638
Registriert: 26.10.2004 11:16:34
Wohnort: Rhein-Main-Gebiet

Re: LDAP Kerberos Passwortspeicher

Beitrag von bluestar » 06.08.2018 13:30:45

joe2017 hat geschrieben: ↑ zum Beitrag ↑
06.08.2018 12:31:56
Ich muss diese Info in dem LDAP User als Passwort Eintrag hinterlegen RICHTIG?

Code: Alles auswählen

userPassword: {SASL}username@REALM
Richtig, sofern du Kerberos und deinen LDAP-Server entsprechend konfiguiert hast.
joe2017 hat geschrieben: ↑ zum Beitrag ↑
06.08.2018 12:31:56
Meine Kerberos Informationen sind in der LDAP Datenbank gespeichert. Der Eintrag in meinem LDAP User ist somit der Verweis auf mein Kerberos User Passwort?
Dann hätte ich somit meine LDAP Benutzer welche ich LDAP Gruppen für Berechtigungen etc. zuordnen kann, und lediglich ein Passwort welches für die Authentifizierung in meinem Kerberos Benutzern hinterlegt sind.
Wie hast du denn Kerberos konfiguriert?
Wie hast du deinen LDAP-Server denn konfiguriert?

joe2017
Beiträge: 229
Registriert: 07.08.2017 14:29:51

Re: LDAP Kerberos Passwortspeicher

Beitrag von joe2017 » 06.08.2018 14:54:02

Meine LDAP Installation richtet sich nach folgendem Link https://help.ubuntu.com/lts/serverguide ... erver.html
Ich habe zwei redundante LDAP Server

Meine Kerberos Installation richtet sich nach folgendem Link https://help.ubuntu.com/lts/serverguide ... -ldap.html
Ich habe zwei redundante Kerberos Server

Ich komm gerade nicht klar mit dem ändern des Passwortes. Ich habe folgende Anpassung forgenommen.

sudo apt-get install sasl2-bin libsasl2-modules-gssapi-mit
sudo nano /etc/default/saslauthd

Code: Alles auswählen

START=yes
DESC="SASL Authentication Daemon"
NAME="saslauthd"
MECHANISMS="kerberos5"
MECH_OPTIONS=""
THREADS=5
OPTIONS="-c -m /var/run/saslauthd"
sudo adduser openldap sasl

ldappasswd -H ldaps://LDAP-IP -x -D "cn=admin,dc=domain,dc=net" -W "uid=userid,ou=Users,dc=domain,dc=net" -s {SASL}userid@DOMAIN.NET

Code: Alles auswählen

Result: No such object (32)

Benutzeravatar
bluestar
Beiträge: 638
Registriert: 26.10.2004 11:16:34
Wohnort: Rhein-Main-Gebiet

Re: LDAP Kerberos Passwortspeicher

Beitrag von bluestar » 06.08.2018 15:24:20

joe2017 hat geschrieben: ↑ zum Beitrag ↑
06.08.2018 14:54:02
ldappasswd -H ldaps://LDAP-IP -x -D "cn=admin,dc=domain,dc=net" -W "uid=userid,ou=Users,dc=domain,dc=net" -s {SASL}userid@DOMAIN.NET

Code: Alles auswählen

Result: No such object (32)
Das wird auch nicht funktionieren, du musst schon über ldapmodify das Feld direkt modifizieren.

joe2017
Beiträge: 229
Registriert: 07.08.2017 14:29:51

Re: LDAP Kerberos Passwortspeicher

Beitrag von joe2017 » 06.08.2018 16:11:31

Danke für den Tipp. Hier bekomme ich jedoch einen Fehler.

sudo nano /tmp/tmp.ldif

Code: Alles auswählen

dn: cn=Vorname Nachname,ou=Users,dc=domain,dc=net
changetype: modify
replace: userPassword
userPassword: {SASL}uid@DOMAIN.NET
sudo ldapmodify -Q -Y EXTERNAL -H ldapi:/// -f /tmp/tmp.ldif

Code: Alles auswählen

modifying entry "cn=Vorname Nachname,ou=Users,dc=domain,dc=net"
ldap_modify: Insufficient access (50)
Eigentlich hatte ich so schon öfter diverse Dinge angepasst. Nur noch keine Passwörter. Werden diese anders behandelt?

Benutzeravatar
bluestar
Beiträge: 638
Registriert: 26.10.2004 11:16:34
Wohnort: Rhein-Main-Gebiet

Re: LDAP Kerberos Passwortspeicher

Beitrag von bluestar » 06.08.2018 16:16:16

joe2017 hat geschrieben: ↑ zum Beitrag ↑
06.08.2018 16:11:31
Eigentlich hatte ich so schon öfter diverse Dinge angepasst. Nur noch keine Passwörter. Werden diese anders behandelt?
Dann konsultierst du die ACLS in deinem Setup, die können dir sagen, wer welche Berechtigungen hat.

joe2017
Beiträge: 229
Registriert: 07.08.2017 14:29:51

Re: LDAP Kerberos Passwortspeicher

Beitrag von joe2017 » 06.08.2018 16:20:03

joe2017 hat geschrieben: ↑ zum Beitrag ↑
06.08.2018 16:11:31
sudo ldapmodify -Q -Y EXTERNAL -H ldapi:/// -f /tmp/tmp.ldif
Ich musste diese Zeile lediglich gegen folgende austauschen
ldapmodify -x -c -D cn=admin,dc=domain,dc=net -W -f /ems/tmp.ldif


Wenn ich nach der Anpassung die folgende Prüfung durchführe erhalte ich eine Fehlermeldung
sudo testsaslauthd -u uid@DOMAIN.NET -p userpassword

Code: Alles auswählen

 0: NO "authentication failed"

Benutzeravatar
ThorstenS
Beiträge: 2798
Registriert: 24.04.2004 15:33:31

Re: LDAP Kerberos Passwortspeicher

Beitrag von ThorstenS » 06.08.2018 21:43:09

schau bei Gelegenheit mal in deine Privaten Nachrichten oben rechts neben deinem Anmeldenamen.

Antworten