■
Kerberos化の一環として、openldapをKerberosで認証できるように設定してみる. keytabの場所でちょっと悩むも、それ以外は特に悩まず完了.
- Kerberosでの作業
- ldap service用のprincipalを作っておく.
# kadmin -l kdamin> add --random-key ldap/hoge.example.jp@EXAMPLE.JP kdamin> ext_keytab -k /usr/local/etc/openldap/krb5_ldap.keytab ldap/hoge.example.jp@EXAMPLE.JP
- cyrus-saslの設定
- /usr/local/lib/sasl2/slapd.confを作って以下のように書くこと. slapd.confのkeytab設定は関係ない. というかKerberosIV用みたい. 最初slapd.confに書いていて読んでくれなくて結構悩んだ.
mech_list: DIGEST-MD5 GSSAPI keytab: /usr/local/etc/openldap/krb5_ldap.keytab
- openldapの設定
- slapd.confに次の行を追加
sasl-host hoge.example.jp sasl-realm example.jp sasl-secprops noplain,noanonymous,minssf=56 sasl-regexp uid=(.*),cn=example.jp,cn=gssapi,cn=auth uid=$1,ou=user,ou=People,dc=example,dc=jp