Kerberos+LDAP+NFSv4實現(xiàn)單點登錄(續(xù)4)--SASL/GSSAPI

前篇<Kerberos+LDAP+NFSv4 實現(xiàn)單點登錄(續(xù)1)--DNS+dhcp>的krb5 + ldap + bind9 + bind9-dyndb-ldap 全面升級到debian 10,出現(xiàn)bind9-dyndb-ldap的GSSAPI+krb5_keytab認證機制無法連接ldap數(shù)據(jù)庫.
查看日志:
SASL/GSSAPI authentication started
Error: Local error
Additional info: SASL(-1): generic failure: GSSAPI Error: Miscellaneous failure (see text) (Did not find a plugin for ccache_ops)

創(chuàng)新互聯(lián)自成立以來，一直致力于為企業(yè)提供從網(wǎng)站策劃、網(wǎng)站設計、成都網(wǎng)站設計、網(wǎng)站建設、電子商務、網(wǎng)站推廣、網(wǎng)站優(yōu)化到為企業(yè)提供個性化軟件開發(fā)等基于互聯(lián)網(wǎng)的全面整合營銷服務。公司擁有豐富的網(wǎng)站建設和互聯(lián)網(wǎng)應用系統(tǒng)開發(fā)管理經(jīng)驗、成熟的應用系統(tǒng)解決方案、優(yōu)秀的網(wǎng)站開發(fā)工程師團隊及專業(yè)的網(wǎng)站設計師團隊。

網(wǎng)上搜索有關GSSAPI+ccache_ops未果,不得不自己動手調(diào)試.
思路:從bind9-dyndb-ldap軟件包開始及其各依賴包逐個手動降級;或者從正常debian 9開始,修改軟件源為debian 10,逐個升級.即降級/升級一個,測試一次.
說明:debian系統(tǒng)是無法自動降級的,可修改軟件源為低版或手動下載低版deb包重裝軟件包

實際整個調(diào)試過程還是盲人摸象.krb5、ldap、sasl都是復雜的東西,問題有可能在服務端,也有可能在客戶端,也有可能配置上漏缺.
本人能力有限,也希望從源碼定位到問題位置,按日志出現(xiàn)的關鍵詞'plugin for ccache_ops'搜索上面三者源代碼,也僅僅搜到片言只語,不知所然.

功夫不負有心人,從各個依賴包逐個降級,很幸運定為到libsasl2-modules-gssapi-heimdal軟件包,也就是說,其它相關的軟件包都用debian 10最新版,配置文件不需更改,
只要將libsasl2-modules-gssapi-heimdal軟件包降級,bind9-dyndb-ldap就正常連接到ldap數(shù)據(jù)庫.
debian 10 版本是2.1.27+dfsg-1
debian 9 版本是2.1.27~101-g0780600+dfsg-3
實際就一個文件/usr/lib/x86_64-linux-gnu/sasl2/libgssapiv2.so.2.0.25,用debian 9 版本解包直接替換掉就可.

sasl/gssapi也算比較常用的應用,但問題是libsasl2-modules-gssapi-heimdal的2.1.27+dfsg-1版至今到debian 11還一直未更新,采用2.1.27+dfsg-1版的其它sasl/gssapi應用都正常.
如openldap客戶端工具在2.1.27+dfsg-1版下正常,如下命令
ldapwhoami -Y GSSAPI -h 192.168.1.11
因此也確定不了2.1.27+dfsg-1版這個出錯究竟是BUG還是這個升級版需sasl/gssapi客/服進一步配置?
或者如我的需求bind9-dyndb-ldap+SASL/GSSAPI就比較少見了,所以網(wǎng)上幾乎搜不到相關問題,也確定不了是不是bind9-dyndb-ldap問題.
該問題很平靜,所以可能深藏著.要調(diào)試bind9-dyndb-ldap很麻煩,轉(zhuǎn)個思路,自己編寫最簡單的ldap/sasl/gssapi/krb5客戶端程序測試,果不其然,發(fā)現(xiàn)是使用內(nèi)存票據(jù)會出現(xiàn)該問題.
krb5客戶端可以指定票據(jù)的位置,如下
"MEMORY:krb5cc_1000" 存放在進程內(nèi)存里
"FILE:/tmp/krb5cc_1000" 存放在臨時目錄下

krb5的票據(jù)通常是放在臨時目錄下,即如/tmp/krb5cc_1000的票據(jù)文件,openldap客戶端工具就是讀取臨時目錄下的票據(jù).
經(jīng)測試,libsasl2-modules-gssapi-heimdal 2.1.27+dfsg-1版對內(nèi)存票據(jù)有BUG,對文件票據(jù)正常.
在前篇 <Kerberos+LDAP+NFSv4 實現(xiàn)單點登錄> SSSD客戶機安裝提到libsasl2-modules-gssapi-mit和libsasl2-modules-gssapi-heimdal兩者可互相替換.
因此安裝debian 10的libsasl2-modules-gssapi-mit,對內(nèi)存票據(jù)已完全正常.mit版更主流,或許正因為有mit版可代替heimdal版,所以heimdal版問題很平靜.

小結(jié):
對于sasl/gssapi應用,請安裝libsasl2-modules-gssapi-mit

后記:
1.對于krb5客戶端,盡量使用mit版,Kerberos本就是mit發(fā)明,更活躍.
2.我的Kerberos服務器為什么要采用heimdal版?
因為我的目標Kerberos+LDAP一體,兩套密碼同步.

                                        mit                              heimdal 
-----------------------------------------------------------------------------------------------------
krb5服務器通過EXTERNAL連接ldap       不支持                                  支持
通過slapd-smbk5pwd同步密碼            不支持                                   支持

3.debian 10的bind9-dyndb-ldap配置格式有新的變化
客/服配置請先參考前篇<Kerberos+LDAP+NFSv4 實現(xiàn)單點登錄(續(xù)1)--dns+dhcp>,然后按下面:

但請按Kerberos使用自己本地數(shù)據(jù)庫來理解下面的配置,因為使用ldap作為Kerberos后端數(shù)據(jù)庫后來理解krb5主體和ldap條目很混淆

1)bind9-dyndb-ldap配置
/etc/bind/named.conf.ldap
//其它略
...
//不同體系路徑如/usr/lib/i386-linux-gnu/bind/ldap.so
dyndb "my_db_name" "/usr/lib/bind/ldap.so" {
server_id "";
directory "/var/cache/bind";
uri "ldap://127.0.0.1";
base "ou=dns,dc=ctp,dc=net";

//認證機制
auth_method "sasl";
sasl_mech "GSSAPI";
//--v-- 添加krb5主體
krb5_principal "dnsadmin@CTP.NET";
krb5_keytab "FILE:/etc/bind/krb5.keytab";
//--^--
timeout 50;
reconnect_interval 100;
};

2)ldap配置
/etc/ldap/slapd.d/cn=config/olcDatabase={1}mdb.ldif
#其它略
...
olcAccess: {3}to dn.subtree="ou=dns,dc=ctp,dc=net" by dn="uid=dnsadmin,cn=gssapi,cn=auth" write by * read
...

說明:
配置krb5主體dnsadmin寫ldap數(shù)據(jù)庫權(quán)限,如果只需讀權(quán)限,應該不需配置;
"cn=gssapi,cn=auth"是固定格式的,用來表示是krb5條目(此處krb5條目不是指使用ldap作為Kerberos后端存放在ldap數(shù)據(jù)庫里所體現(xiàn)的條目,你可按Kerberos使用自己數(shù)據(jù)庫來理解),ldap數(shù)據(jù)庫不需創(chuàng)建存儲"uid=dnsadmin,cn=gssapi,cn=auth" krb5條目;
其它的名字"dnsadmin"、"dns"、"ctp"、"net"按你實際名稱填寫.

3)運行以下命令
kadmin -l add -r --use-defaults dnsadmin
kadmin -l ext -k /etc/bind/krb5.keytab dnsadmin

使用ldap作為Kerberos后端,add命令自動在ldap數(shù)據(jù)庫里添加krb5主體dnsadmin的條目"krb5PrincipalName=dnsadmin@CTP.NET,ou=hdkrb5,dc=ctp,dc=net"

chown bind:bind /etc/bind/krb5.keytab
chmod o-r /etc/bind/krb5.keytab
chmod g-r /etc/bind/krb5.keytab

4.其它注意事項
我的 krb5 + ldap + bind9 + bind9-dyndb-ldap 一體機kdc服務器(192.168.1.11)
1)
當/etc/resolv.conf為空
或設nameserver 127.0.0.1
或設nameserver 192.168.1.11
或設nameserver 192.168.1.xx 同kdc服務器網(wǎng)段隨便不存在的地址
bind9啟動失敗,提示超時

假如以上述resolv.conf配置,將/etc/bind/named.conf.ldap的sasl/gssapi認證機制改為匿名
auth_method "none";
bind9啟動能成功,雖然匿名無法寫入ldap,但dig讀取成功;說明可能是sasl/gssapi機制的緣故.

2)
必須往/etc/resolv.conf添加和kdc服務器不同網(wǎng)段不存在的地址
如nameserver 127.0.0.2
或nameserver 192.168.2.22

sasl/gssapi認證機制,bind9啟動才成功,緣由不明.

名稱欄目：Kerberos+LDAP+NFSv4實現(xiàn)單點登錄(續(xù)4)--SASL/GSSAPI
本文URL：http://muchs.cn/article6/jpjdog.html

成都網(wǎng)站建設公司_創(chuàng)新互聯(lián)，為您提供全網(wǎng)營銷推廣、企業(yè)網(wǎng)站制作、App開發(fā)、品牌網(wǎng)站建設、服務器托管、App設計

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源： 創(chuàng)新互聯(lián)