View previous topic :: View next topic |
Author |
Message |
cloc3 Advocate
Joined: 13 Jan 2004 Posts: 4793 Location: http://www.gentoo-users.org/user/cloc3/
|
Posted: Wed Sep 03, 2008 5:23 am Post subject: [ldap + sasl + krb5 ]getent langue sull'autenticazione sasl |
|
|
è stata una faticaccia, ma ho appena ho appena configurato un sistema di autenticazione basato su ldap, kerberos e sasl.
il problema in oggetto, tuttavia, rischia di bloccare letteralmente il sistema.
il fatto è che gli accessi del comando getent possono avvenire in due modi, controllati dalla configurazione del file /etc/ldap.conf:
a. con autenticazione diretta, per i processi lanciati da root
b. con autenticazione sasl, certificata da ticket kerberos per gli altri processi
esistono però processi (dbus è il più fastidioso di questi, in avvio) che sono costretti ad accedere all'autenticazione sasl ma non sono in grado di richiedere il ticket kerberos per l'avvio.
come me la cavo con loro?
tra l'altro, credo che questi processi non abbiano nessuna necessità di andare a ravanare nei dati ldap (a loro basta guardare nei files).
la soluzione più efficiente, se mai è percorribile, sarebbe dunque di istruire a questi processi di utilizzare una compia semplificata del file nsswitch.conf .
l'uso delle variabili di ambiente LDAPCONF ed LDAPRC (vedi man ldap.conf) non sembra funzionare. _________________ vu vu vu
gentù
mi piaci tu |
|
Back to top |
|
|
cloc3 Advocate
Joined: 13 Jan 2004 Posts: 4793 Location: http://www.gentoo-users.org/user/cloc3/
|
Posted: Thu Sep 04, 2008 5:13 am Post subject: |
|
|
mi sono convinto che il problema non ammette soluzioni.
la pagina di manuale a cui mi ispiravo, infatti, non è quella giusta, che invece recita esplicitamente:
Quote: |
nss_ldap stores its configuration in the ldap.conf file, the location of which is configurable at compile time.
|
servirebbe dunque una paccetta da quattro soldi per definre una variabile d'ambiente, ma se non l'hanno fatta ci sarà un perché.
l'unica uscita, dunque, è l'aggiramento:
i servizi con utente umano (capace di usare kinit), continueranno ad autenticare con kerbero, mentre getent userà il binding diretto su ldap
_________________ vu vu vu
gentù
mi piaci tu |
|
Back to top |
|
|
|
|
You cannot post new topics in this forum You cannot reply to topics in this forum You cannot edit your posts in this forum You cannot delete your posts in this forum You cannot vote in polls in this forum
|
|