OpenLDAP 2.4+: Должен ли я использовать OnLine Configuration и преобразовывать kerberos.schema или нет?

В настоящее время я пытаюсь установить в кластере решение Kerberos + LDAP.

Вопрос в том, в slapd.conf, если я поставлю:

include         /etc/openldap/schema/kerberos.schema

и в индексе:

index           krbPrincipalName eq,pres,sub

Тогда мне действительно нужно сделать преобразование во время выполнения для cn=config ? Или можно этого не делать и просто включить в slapd.conf? Все учебники, которые я видел о kerberos + LDAP, были с LDAP =‹ 2.3, и у меня возникли проблемы с использованием:

ldapadd -Y EXTERNAL -H ldapi:/// -f  /tmp/krb5_ldif/cn=config/cn=schema/cn={0}kerberos.ldif

Механизм ВНЕШНИЙ не работает, как в этом устаревшем посте:

http://web.mit.edu/kerberos/krb5-1.11/doc/admin/advanced/ldapbackend.html#ldap-be-ubuntu http://labs.opinsys.com/blog/2010/02/01/setting-up-openldap-on-ubuntu-10-04-alpha-2-lucid-part-3/

а здесь я его не вижу: (использую krb5-1.6).

http://web.mit.edu/kerberos/krb5-1.6/krb5-1.6.2/doc/krb5-admin.html#Configuring-Kerberos-with-OpenLDAP-back_002dend

Спасибо за ваши советы :)


kerberos openldap
person kulssaka    schedule 17.04.2014    source источник

Ответы (1)


arrow_upward
1
arrow_downward

Ваш вопрос безнадежно запутан.

  1. Если вы используете онлайн-конфигурацию, вам нужно использовать базу данных cn=config, а не slapd.conf. Это не имеет ничего общего с (2) или (3). Что вы используете, зависит от вас. Ни один из них не является обязательным. Вот почему они оба предоставлены. Конечно, это очевидно?

  2. Если вы используете схему Kerberos, вам необходимо загрузить ее в любую систему конфигурации, которую вы используете: см. (1). Это не имеет ничего общего с (3).

  3. Механизм аутентификации EXTERNAL SASL не имеет ничего общего ни с (1), ни с (2).

person user207421    schedule 17.04.2014
comment
Итак, мой вопрос: должен ли я использовать онлайн-конфигурацию? Похоже, они не используют его в: web.mit.edu/kerberos/krb5-1.6/krb5-1.6.2/doc/ Для 3), я знаю, что это на самом деле не связано, но если мне нужно сделать этот ldapdd -Y, мне нужно, чтобы он работал, если я хочу добавить схему в файл olc. И это не работает для меня, поэтому я хочу знать, является ли это обязательным и нужно ли это решать. - person kulssaka; 17.04.2014
comment
Так почему же ваш вопрос озаглавлен «Нужно преобразовать Kerberos.schema?» Ваш вопрос остается безнадежно запутанным. Здесь есть три отдельных вопроса, и я ответил на них все. - person user207421; 18.04.2014
comment
Извините, неясно, следует ли мне использовать olc или нет. Ах, я вижу, вы запутались, тогда я изменю свой заголовок :) - person kulssaka; 18.04.2014