我正在尝试使用Kerberos和OpenLDAP后端配置服务器。有一些严格的条件:
1)不允许简单地绑定到LDAP服务器:(olcDisallows:bind_simple);
2)仅允许 SASL_MECH GSSAPI(slapd.conf);
3)如前所述,LDAP被用作Kerberos基础的容器。
许多方法介绍了如何使用带有隐藏密码的专用DN实现此方案,但是显然需要允许简单的绑定。
据称,从1.13开始,Kerberos提供了KDC / kadmin如何使用非密码机制绑定LDAP的方式。在krb5.conf(https://web.mit.edu/Kerberos/krb5-1.14/doc/admin/conf_files/kdc_conf.html#dbmodules)的[dbmodules]部分中添加了“ ldap_kdc_sasl_mech”和“ ldap_kadmind_sasl_mech”关键字,但是没有字如何使用它。有什么建议,这个设置是什么样的?对不起,我的英语。