Início / unix / Perguntas / 450447
Accepted
pkaramol
Asked: 2018-06-19 05:48:08 +0800 CST

Mecanismos de autenticação OpenLDAP vs Active Directory

  • 772

Consigo fazer login em um Active Directory usando o userPrincipalNameatributo de um userobjectClass; (por exemplo [email protected])

Também configurei uma instância de servidor para a qual OpenLDAP posso autenticar usando o , por exemplodn

"cn=somecn,cn=anothercn,ou=someou,dc=mydomain,dc=com"

Como é possível autenticar OpenLDAPusando outro campo, por exemplo, o mailatributo do inetOrgPersonpor exemplo?

Além disso, mesmo que isso fosse possível, como alguém garantiria a singularidade do campo? (uma funcionalidade que suponho ser oferecida pelo AD em termos de userPrincipalNamecampo)

ldap openldap

1 respostas

  1. Best Answer

    OpenLDAP suporta dois métodos de autenticação ( simplee SASL), enquanto SASLé o método padrão para ldap-utils como ldapsearch.

    Quando você está autenticando usando o DN, você faz uma chamada "ligação simples".

    ligação simples

    O simplemétodo tem três modos de operação:

    • anônimo
    • não autenticado
    • usuário/senha autenticado

    Por exemplo:

    # ldapwhoami -x
anonymous

    ou:

    # ldapwhoami -x -D uid=rda,ou=people,dc=phys,dc=ethz,dc=ch -w secret1234
dn:uid=rda,ou=people,dc=phys,dc=ethz,dc=ch

    SASL

    Clientes e servidores OpenLDAP são capazes de autenticar por meio da estrutura Simple Authentication and Security Layer (SASL), que é detalhada na RFC4422 . SASL suporta vários mecanismos de autenticação. Os mecanismos mais comuns com OpenLDAP são EXTERNALe GSSAPI.

    O mecanismo EXTERNAL faz uso de uma autenticação realizada por um protocolo de nível inferior: geralmente TLS ou Unix IPC. Por exemplo, usando Unix IPC como usuário root:

    # ldapwhoami -Y EXTERNAL -H ldapi://
SASL/EXTERNAL authentication started
SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
SASL SSF: 0
dn:gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth

    O usuário autenticado é mapeado para um DN na árvore cn=peercred,cn=external,cn=auth.

    O mecanismo GSSAPI geralmente significa Kerveros 5. Se você tiver uma infraestrutura Kerberos 5 implantada, poderá usar os principais Kerberos para autenticação.

    Primeiro, autentique-se no KDC e obtenha um TGT:

    # kinit rda
Password for [email protected]: secret1234

    Então você pode usar o GSSAPI para autenticação no OpenLDAP:

    # ldapwhoami
SASL/GSSAPI authentication started
SASL username: [email protected]
SASL SSF: 56
SASL data security layer installed.
dn:uid=rda,cn=gssapi,cn=auth

    O principal [email protected]é mapeado para um DN na árvore cn=gssapi,cn=auth.

    Agora você pode mapear esse DN autenticado para um DN real no banco de dados usando uma expressão regular com a olcAuthzRegexpconfiguração em cn=config:

    dn: cn=config
objectClass: olcGlobal
cn: config
olcAuthzRegexp: {0}uid=([^,/]*),cn=phys.ethz.ch,cn=gssapi,cn=auth uid=$1,ou=people,dc=phys,dc=ethz,dc=ch
...

    Essa olcAuthzRegexplinha mapeia qualquer usuário principal no domínio PHYS.ETHZ.CHpara uma entrada correspondente posixAccountsob ou=people,dc=phys,dc=ethz,dc=cha qual tem o mesmo nome de usuário no uidatributo.

    Por exemplo, com a seguinte entrada posix

    # ldapsearch uid=rda
dn: uid=rda,ou=people,dc=phys,dc=ethz,dc=ch
objectClass: inetOrgPerson
objectClass: posixAccount
objectClass: krbPrincipalAux
objectClass: krbTicketPolicyAux
uid: rda
krbPrincipalName: [email protected]
...

    ldapwhoamimostrará:

    # ldapwhoami
SASL/GSSAPI authentication started
SASL username: [email protected]
SASL SSF: 56
SASL data security layer installed.
dn:uid=rda,ou=people,dc=phys,dc=ethz,dc=ch

    O mapeamento usando olcAuthzRegexpdeve corresponder a uma entrada exclusiva na DIT. Isso deve ser assegurado pelo administrador ou pelo software de gerenciamento.

    • 6

relate perguntas