Kerberos化の一環として、openldapをKerberosで認証できるように設定してみる. keytabの場所でちょっと悩むも、それ以外は特に悩まず完了.

Kerberosでの作業

ldap service用のprincipalを作っておく.

# kadmin -l
kdamin> add --random-key ldap/hoge.example.jp@EXAMPLE.JP
kdamin> ext_keytab -k /usr/local/etc/openldap/krb5_ldap.keytab ldap/hoge.example.jp@EXAMPLE.JP

cyrus-saslの設定

/usr/local/lib/sasl2/slapd.confを作って以下のように書くこと. slapd.confのkeytab設定は関係ない. というかKerberosIV用みたい. 最初slapd.confに書いていて読んでくれなくて結構悩んだ.

mech_list: DIGEST-MD5 GSSAPI
keytab:    /usr/local/etc/openldap/krb5_ldap.keytab

openldapの設定

slapd.confに次の行を追加

sasl-host hoge.example.jp
sasl-realm example.jp
sasl-secprops noplain,noanonymous,minssf=56

sasl-regexp
    uid=(.*),cn=example.jp,cn=gssapi,cn=auth
    uid=$1,ou=user,ou=People,dc=example,dc=jp