Ingo's questions

我想用不同的 VLAN 标签标记来自启用双栈的连接的传入 IPv4 和 IPv6 数据包，例如 IPv4 数据包应该转到 VLAN4，而 IPv6 数据包应该转到 VLAN6。更一般地说，我想将混合 IPv4 和 IPv6 数据包的双栈 ip 流拆分为两个干净的单栈网络，这样您就不会在 IPv6 网络上找到任何 IPv4 数据包，反之亦然。我需要它来测试和支持仅 IPv6 的网络。当然，我仍然需要 IPv4 数据。它不能简单地被丢弃。

                          Linux Box
                       Debian Bullseye
       untagged         ┏━━━━━━━━━━━┓         tagged (trunk)
════════════════════════┫eth0  vlan4┣═╦══════════════════════
     IPv4 and IPv6      ┃      vlan6┣═╝eth1  IPv4 with VLAN4 tag
      dual stack        ┗━━━━━━━━━━━┛        IPv6 with VLAN6 tag

我查看了 Linux 网桥，nftables但无法找到解决方案。我怎样才能实现这种选择性标记？

我正在使用systemd-networkd在所有节点上使用Debian Bullseye为KVM（基于内核的虚拟机）配置由libvirt管理的网络接口。我想在使用Linux Bridge的虚拟机上支持透明 VLAN 。对于 Linux Bridge，这不受libvirt支持。

例如，我有一个虚拟机，其三个接口连接到网桥：

host ~$ virsh attach-interface guest-vm bridge br0 --config
host ~$ virsh attach-interface guest-vm bridge br0 --config
host ~$ virsh attach-interface guest-vm bridge br0 --config

现在，当运行来宾时，我将在桥上看到：

host ~$ sudo bridge link
3: enp1s0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 master br0 state forwarding priority 32 cost 4
30: vnet13: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 master br0 state forwarding priority 32 cost 100
31: vnet14: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 master br0 state forwarding priority 32 cost 100
32: vnet15: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 master br0 state forwarding priority 32 cost 100

所有接口都成功连接到网桥。enp1s0是主机上的上行链路接口。现在查看网桥上的 VLAN id 时，我看到：

~$ sudo bridge vlan
port              vlan-id
enp1s0            10
                  26
                  30
                  50

仅显示主机接口及其 VLAN id。

有没有办法将 VLAN id 附加到vnet*来宾的其他接口，以便它可以使用它们？

针对 Kerberos 的身份验证和针对 LDAP 目录的授权对我有用。现在我正在使用sssd在 Debian Buster 上寻找客户端设置。

我开始使用nss-pam-ldapd 进行 LDAP 身份验证，在 OpenLDAP 服务器上使用SASL 代理授权，并使用ccreds缓存 OpenLDAP 凭据。但是因为我一直使用systemd及其环境，传统的设置不太适合它，我遇到了一些问题OpenLDAP 服务器。

正因为如此，我查看了sssd，发现它可以一体完成，而且它基于systemd并且还使用dbus进程间通信。所以我决定改用它。但在 Debian 上，推荐的软件包sssd会安装所有可能的服务，例如用于活动目录和其他我不需要的东西。我想让我的客户在没有未使用的软件的情况下尽可能精简，所以我的问题是：

我必须安装哪些 Debian 软件包才能使用sssd对具有 Kerberos SASL/GSSAPI 的 OpenLDAP 服务器进行单点登录，以及如何配置它？

如果在 Debian Buster 操作系统上使用带有 nss-pam-ldapd 的 LDAP 身份验证， SASL/GSSAPI 需要通过代理授权对 LDAP 服务器进行 Kerberos 身份验证。我尝试在我的 Raspberry Pi 上将其配置为单点登录，但无法使其正常工作。

我的 ldap 服务器配置了How to setup SASL Proxy Authorization with an OpenLDAP server on Debian。我将代理用户命名为proxyuser，因此它的专有名称是uid=proxyuser,ou=people,ou=home,dc=hoeft-online,dc=de.

根据在 Debian 系统上使用 nss-pam-ldapd 的 LDAP 身份验证，libnss-ldapd除了libpam-ldapdGSSAPI 插件之外，我还必须安装软件包libsasl2-modules-gssapi-mit。但我将使用libpam-krb5而不是libpam-ldapd：

rpi ~$ sudo apt install libsasl2-modules-gssapi-mit libnss-ldapd ldap-utils

安装时会出现一个配置对话框，其中设置存储在/etc/nslcd.conf和中/etc/nsswitch.conf。我必须再次配置

rpi ~$ sudo dpkg-reconfigure nslcd
rpi ~$ sudo dpkg-reconfigure libnss-ldapd

我从对话框中给出的设置是：

rpi ~$ sudo cat /etc/nslcd.conf
# /etc/nslcd.conf
# nslcd configuration file. See nslcd.conf(5)
# for details.

# The user and group nslcd should run as.
uid nslcd
gid nslcd

# The location at which the LDAP server(s) should be reachable.
uri ldap://kdc-master.home.hoeft-online.de

# The search base that will be used for all queries.
base ou=home,dc=hoeft-online,dc=de

# The LDAP protocol version to use.
#ldap_version 3

# The DN to bind with for normal lookups.
#binddn cn=annonymous,dc=example,dc=net
#bindpw secret

# The DN used for password modifications by root.
#rootpwmoddn cn=admin,dc=example,dc=com

# SSL options
#ssl off
#tls_reqcert never
tls_cacertfile /etc/ssl/certs/ca-certificates.crt

# The search scope.
#scope sub

sasl_mech GSSAPI
krb5_ccname /var/run/nslcd/nslcd.tkt
sasl_authzid dn:uid=proxyuser,ou=people,ou=home,dc=hoeft-online,dc=de

~$ cat /etc/nsswitch.conf
# /etc/nsswitch.conf
#
# Example configuration of GNU Name Service Switch functionality.
# If you have the `glibc-doc-reference' and `info' packages installed, try:
# `info libc "Name Service Switch"' for information about this file.

passwd:         files ldap
group:          files ldap
shadow:         files ldap
gshadow:        files

hosts:          files dns
networks:       files

protocols:      db files
services:       db files
ethers:         db files
rpc:            db files

netgroup:       nis

现在，getent passwd我希望从 LDAP 服务器获得ingo的凭据。它不存储在本地/etc/passwd。但我只从/etc/passwd. 在 LDAP 服务器的日志中，我可以看到没有尝试绑定到proxyuser。我在这里缺少什么？
为什么getent不从 LDAP 服务器获取凭据？

对于 Kerberos 身份验证以及客户端设备上的 SASL/GSSAPI 授权，我需要在具有 Debian/Raspbian Buster 的 Raspberry Pi 上运行的 OpenLDAP 服务器上进行代理授权。我尝试按照 OpenLDAP Software 2.4 Administrator's Guide 中有关SASL 代理授权的说明进行操作，但无法使其正常工作。身份验证失败或未找到代理用户且授权失败。使用原始用户进行身份验证没有问题：

ldap-server ~$ kinit ingo
Password for [email protected]:
ldap-server ~$ ldapwhoami
SASL/GSSAPI authentication started
SASL username: [email protected]
SASL SSF: 256
SASL data security layer installed.
dn:uid=ingo,ou=people,ou=home,dc=hoeft-online,dc=de

但是在设置代理授权时，我对源规则和目标规则以及放置属性的位置authzTo以及authzFrom启用proxyAuth的位置感到困惑。

有人可以举一个简短的例子，如何使用 SASL/GSSAPI 身份验证在 LDAP 服务器上定义代理授权？