LINUX.ORG.RU

История изменений

Исправление bigbit, (текущая версия) :

Kerberos проще, если он уже настроен и работает, и есть понимание, как он работает :)
Если же настраивать с нуля, то конечно же TLS понять и настроить проще.

Если цель - просто перетащить учетки, то вариантов масса:

  • Использовать TLS (ldaps:// в URL)
  • Сделать kinit от имени пользователя, от которого запущена web-морда. У меня ldapsearch при сделанном kinit использует GSSAPI, даже если не указан ключ -Y GSSAPI. Если же очень хочется ключик -Y, соответствующую опцию можно прописать в ldaprc, .ldaprc или переменную окружения $LDAP<option-name>. Насколько я понимаю, опция назвается SASL_MECH.
  • Отключить strong auth в самбе, тогда можно будет биндиться несекьюрно (это плохо, т.к. пароль будет передаваться открытым текстом) 
    [global]
ldap server require strong auth = no

Исправление bigbit, :

Kerberos проще, если он уже настроен и работает, и есть понимание, как он работает :)
Если же настраивать с нуля, то конечно же TLS понять и настроить проще.

Если цель - просто перетащить учетки, то вариантов масса:

  • Использовать TLS (ldaps:// в URL)
  • Сделать kinit от имени пользователя, от которого запущена web-морда. У меня ldapsearch при сделанном kinit использует GSSAPI, даже если не указан ключ -Y GSSAPI. Если же очень хочется ключик -Y, соответствующую опцию можно прописать в ldaprc, .ldaprc или переменную окружения $LDAP<option-name>. Насколько я понимаю, опция назвается SASL_MECH.
  • Отключить strong auth в самбе, тогда можно будет биндится несекьюрно (это плохо, т.к. пароль будет передаваться открытым текстом) 
    [global]
ldap server require strong auth = no

Исправление bigbit, :

Kerberos проще, если он уже настроен и работает, и есть понимание, как он работает :)
Если же настраивать с нуля, то конечно же TLS понять и настроить проще.

Если цель - просто перетащить учетки, то вариантов масса:

  • Использовать TLS (ldaps:// в URL)
  • Сделать kinit от имени пользователя, от которого запущена web-морда. У меня ldapsearch при сделанном kinit использует GSSAPI, даже если не указан ключ -Y GSSAPI. Если же очень хочеться ключик -Y, соответствующую опцию можно прописать в ldaprc, .ldaprc или переменную окружения $LDAP<option-name>. Насколько я понимаю, опция назвается SASL_MECH.
  • Отключить strong auth в самбе, тогда можно будет биндится несекьюрно (это плохо, т.к. пароль будет передаваться открытым текстом) 
    [global]
ldap server require strong auth = no

Исправление bigbit, :

Kerberos проще, если он уже настроен и работает, и есть понимание, как он работает :)
Если же настроивать с нуля, то конечно же TLS понять и настроить проще.

Если цель - просто перетащить учетки, то вариантов масса:

  • Использовать TLS (ldaps:// в URL)
  • Сделать kinit от имени пользователя, от которого запущена web-морда. У меня ldapsearch при сделанном kinit использует GSSAPI, даже если не указан ключ -Y GSSAPI. Если же очень хочеться ключик -Y, соответствующую опцию можно прописать в ldaprc, .ldaprc или переменную окружения $LDAP<option-name>. Насколько я понимаю, опция назвается SASL_MECH.
  • Отключить strong auth в самбе, тогда можно будет биндится несекьюрно (это плохо, т.к. пароль будет передаваться открытым текстом) 
    [global]
ldap server require strong auth = no

Исправление bigbit, :

Kerberos проще, если он уже настроен и работает, и есть понимание, как он работает :)
Если же настроивать с нуля, то конечно же TLS понять и настроить проще.

Если цель - просто перетащить учетки, то вариантов масса:

  • Использовать TLS (ldaps:// в URL)
  • Сделать kinit от имени пользователя, от которого запущена web-морда. У меня ldapsearch при сделанном kinit использует GSSAPI, даже если не указан ключ -Y GSSAPI. Если же очень хочеться ключик -Y, сообтветствующую опцию можно прописать в ldaprc, .ldaprc или переменную окружения $LDAP<option-name>. Насколько я понимаю, опция назвается SASL_MECH.
  • Отключить strong auth в самбе, тогда можно будет биндится несекьюрно (это плохо, т.к. пароль будет передаваться открытым текстом) 
    [global]
ldap server require strong auth = no

Исходная версия bigbit, :

Kerberos проще, если он уже настроен и работает, и есть понимание, как он работает :)
Если же настроивать с нуля, то конечно же TLS понять и настроить проще.

Если цель - просто перетащить учетки, то вариантов масса:

  • Использовать TLS (ldaps:// в URL)
  • Сделать kinit от имени пользователя, от которого запущена web-морда. У меня при сделанном kinit ldapsearch использует GSSAPI, дажне если не указан ключ -Y GSSAPI. Если же очень хочеться ключик -Y, сообтветствующую опцию можно прописать в ldaprc, .ldaprc или переменную окружения $LDAP<option-name>. Насколько я понимаю, опция назвается SASL_MECH.
  • Отключить strong auth в самбе, тогда можно будет биндится несекьюрно (это плохо, т.к. пароль будет передаваться открытым текстом) 
    [global]
ldap server require strong auth = no