溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊(cè)×
其他方式登錄
點(diǎn)擊 登錄注冊(cè) 即表示同意《億速云用戶(hù)服務(wù)條款》

Kerberos+LDAP+NFSv4 實(shí)現(xiàn)單點(diǎn)登錄(續(xù)4)--SASL/GSSAPI

發(fā)布時(shí)間:2020-08-03 00:02:25 來(lái)源:網(wǎng)絡(luò) 閱讀:291 作者:lu_linlin 欄目:系統(tǒng)運(yùn)維

前篇<Kerberos+LDAP+NFSv4 實(shí)現(xiàn)單點(diǎn)登錄(續(xù)1)--dns+dhcp>的krb5 + ldap + bind9 + bind9-dyndb-ldap 全面升級(jí)到debian 10,出現(xiàn)bind9-dyndb-ldap的GSSAPI+krb5_keytab認(rèn)證機(jī)制無(wú)法連接ldap數(shù)據(jù)庫(kù).
查看日志:
SASL/GSSAPI authentication started
Error: Local error
Additional info: SASL(-1): generic failure: GSSAPI Error: Miscellaneous failure (see text) (Did not find a plugin for ccache_ops)

網(wǎng)上搜索有關(guān)GSSAPI+ccache_ops未果,不得不自己動(dòng)手調(diào)試.
思路:從bind9-dyndb-ldap軟件包開(kāi)始及其各依賴(lài)包逐個(gè)手動(dòng)降級(jí);或者從正常debian 9開(kāi)始,修改軟件源為debian 10,逐個(gè)升級(jí).即降級(jí)/升級(jí)一個(gè),測(cè)試一次.
說(shuō)明:debian系統(tǒng)是無(wú)法自動(dòng)降級(jí)的,可修改軟件源為低版或手動(dòng)下載低版deb包重裝軟件包

實(shí)際整個(gè)調(diào)試過(guò)程還是盲人摸象.krb5、ldap、sasl都是復(fù)雜的東西,問(wèn)題有可能在服務(wù)端,也有可能在客戶(hù)端,也有可能配置上漏缺.
本人能力有限,也希望從源碼定位到問(wèn)題位置,按日志出現(xiàn)的關(guān)鍵詞'plugin for ccache_ops'搜索上面三者源代碼,也僅僅搜到片言只語(yǔ),不知所然.

功夫不負(fù)有心人,從各個(gè)依賴(lài)包逐個(gè)降級(jí),很幸運(yùn)定為到libsasl2-modules-gssapi-heimdal軟件包,也就是說(shuō),其它相關(guān)的軟件包都用debian 10最新版,配置文件不需更改,
只要將libsasl2-modules-gssapi-heimdal軟件包降級(jí),bind9-dyndb-ldap就正常連接到ldap數(shù)據(jù)庫(kù).
debian 10 版本是2.1.27+dfsg-1
debian 9 版本是2.1.27~101-g0780600+dfsg-3
實(shí)際就一個(gè)文件/usr/lib/x86_64-linux-gnu/sasl2/libgssapiv2.so.2.0.25,用debian 9 版本解包直接替換掉就可.

sasl/gssapi也算比較常用的應(yīng)用,但問(wèn)題是libsasl2-modules-gssapi-heimdal的2.1.27+dfsg-1版至今到debian 11還一直未更新,采用2.1.27+dfsg-1版的其它sasl/gssapi應(yīng)用都正常.
如openldap客戶(hù)端工具在2.1.27+dfsg-1版下正常,如下命令
ldapwhoami -Y GSSAPI -h 192.168.1.11
因此也確定不了2.1.27+dfsg-1版這個(gè)出錯(cuò)究竟是BUG還是這個(gè)升級(jí)版需sasl/gssapi客/服進(jìn)一步配置?
或者如我的需求bind9-dyndb-ldap+SASL/GSSAPI就比較少見(jiàn)了,所以網(wǎng)上幾乎搜不到相關(guān)問(wèn)題,也確定不了是不是bind9-dyndb-ldap問(wèn)題.
該問(wèn)題很平靜,所以可能深藏著.要調(diào)試bind9-dyndb-ldap很麻煩,轉(zhuǎn)個(gè)思路,自己編寫(xiě)最簡(jiǎn)單的ldap/sasl/gssapi/krb5客戶(hù)端程序測(cè)試,果不其然,發(fā)現(xiàn)是使用內(nèi)存票據(jù)會(huì)出現(xiàn)該問(wèn)題.
krb5客戶(hù)端可以指定票據(jù)的位置,如下
"MEMORY:krb5cc_1000" 存放在進(jìn)程內(nèi)存里
"FILE:/tmp/krb5cc_1000" 存放在臨時(shí)目錄下

krb5的票據(jù)通常是放在臨時(shí)目錄下,即如/tmp/krb5cc_1000的票據(jù)文件,openldap客戶(hù)端工具就是讀取臨時(shí)目錄下的票據(jù).
經(jīng)測(cè)試,libsasl2-modules-gssapi-heimdal 2.1.27+dfsg-1版對(duì)內(nèi)存票據(jù)有BUG,對(duì)文件票據(jù)正常.
在前篇 <Kerberos+LDAP+NFSv4 實(shí)現(xiàn)單點(diǎn)登錄> SSSD客戶(hù)機(jī)安裝提到libsasl2-modules-gssapi-mit和libsasl2-modules-gssapi-heimdal兩者可互相替換.
因此安裝debian 10的libsasl2-modules-gssapi-mit,對(duì)內(nèi)存票據(jù)已完全正常.mit版更主流,或許正因?yàn)橛衜it版可代替heimdal版,所以heimdal版問(wèn)題很平靜.

小結(jié):
對(duì)于sasl/gssapi應(yīng)用,請(qǐng)安裝libsasl2-modules-gssapi-mit

后記:
1.對(duì)于krb5客戶(hù)端,盡量使用mit版,Kerberos本就是mit發(fā)明,更活躍.
2.我的Kerberos服務(wù)器為什么要采用heimdal版?
因?yàn)槲业哪繕?biāo)Kerberos+LDAP一體,兩套密碼同步.

                                        mit                              heimdal 
-----------------------------------------------------------------------------------------------------
krb5服務(wù)器通過(guò)EXTERNAL連接ldap       不支持                                  支持
通過(guò)slapd-smbk5pwd同步密碼            不支持                                   支持

3.debian 10的bind9-dyndb-ldap配置格式有新的變化
客/服配置請(qǐng)先參考前篇<Kerberos+LDAP+NFSv4 實(shí)現(xiàn)單點(diǎn)登錄(續(xù)1)--dns+dhcp>,然后按下面:

但請(qǐng)按Kerberos使用自己本地?cái)?shù)據(jù)庫(kù)來(lái)理解下面的配置,因?yàn)槭褂胠dap作為Kerberos后端數(shù)據(jù)庫(kù)后來(lái)理解krb5主體和ldap條目很混淆

1)bind9-dyndb-ldap配置
/etc/bind/named.conf.ldap
//其它略
...
//不同體系路徑如/usr/lib/i386-linux-gnu/bind/ldap.so
dyndb "my_db_name" "/usr/lib/bind/ldap.so" {
server_id "";
directory "/var/cache/bind";
uri "ldap://127.0.0.1";
base "ou=dns,dc=ctp,dc=net";

//認(rèn)證機(jī)制
auth_method "sasl";
sasl_mech "GSSAPI";
//--v-- 添加krb5主體
krb5_principal "dnsadmin@CTP.NET";
krb5_keytab "FILE:/etc/bind/krb5.keytab";
//--^--
timeout 50;
reconnect_interval 100;
};

2)ldap配置
/etc/ldap/slapd.d/cn=config/olcDatabase={1}mdb.ldif
#其它略
...
olcAccess: {3}to dn.subtree="ou=dns,dc=ctp,dc=net" by dn="uid=dnsadmin,cn=gssapi,cn=auth" write by * read
...

說(shuō)明:
配置krb5主體dnsadmin寫(xiě)ldap數(shù)據(jù)庫(kù)權(quán)限,如果只需讀權(quán)限,應(yīng)該不需配置;
"cn=gssapi,cn=auth"是固定格式的,用來(lái)表示是krb5條目(此處krb5條目不是指使用ldap作為Kerberos后端存放在ldap數(shù)據(jù)庫(kù)里所體現(xiàn)的條目,你可按Kerberos使用自己數(shù)據(jù)庫(kù)來(lái)理解),ldap數(shù)據(jù)庫(kù)不需創(chuàng)建存儲(chǔ)"uid=dnsadmin,cn=gssapi,cn=auth" krb5條目;
其它的名字"dnsadmin"、"dns"、"ctp"、"net"按你實(shí)際名稱(chēng)填寫(xiě).

3)運(yùn)行以下命令
kadmin -l add -r --use-defaults dnsadmin
kadmin -l ext -k /etc/bind/krb5.keytab dnsadmin

使用ldap作為Kerberos后端,add命令自動(dòng)在ldap數(shù)據(jù)庫(kù)里添加krb5主體dnsadmin的條目"krb5PrincipalName=dnsadmin@CTP.NET,ou=hdkrb5,dc=ctp,dc=net"

chown bind:bind /etc/bind/krb5.keytab
chmod o-r /etc/bind/krb5.keytab
chmod g-r /etc/bind/krb5.keytab

4.其它注意事項(xiàng)
我的 krb5 + ldap + bind9 + bind9-dyndb-ldap 一體機(jī)kdc服務(wù)器(192.168.1.11)
1)
當(dāng)/etc/resolv.conf為空
或設(shè)nameserver 127.0.0.1
或設(shè)nameserver 192.168.1.11
或設(shè)nameserver 192.168.1.xx 同kdc服務(wù)器網(wǎng)段隨便不存在的地址
bind9啟動(dòng)失敗,提示超時(shí)

假如以上述resolv.conf配置,將/etc/bind/named.conf.ldap的sasl/gssapi認(rèn)證機(jī)制改為匿名
auth_method "none";
bind9啟動(dòng)能成功,雖然匿名無(wú)法寫(xiě)入ldap,但dig讀取成功;說(shuō)明可能是sasl/gssapi機(jī)制的緣故.

2)
必須往/etc/resolv.conf添加和kdc服務(wù)器不同網(wǎng)段不存在的地址
如nameserver 127.0.0.2
或nameserver 192.168.2.22

sasl/gssapi認(rèn)證機(jī)制,bind9啟動(dòng)才成功,緣由不明.

向AI問(wèn)一下細(xì)節(jié)

免責(zé)聲明:本站發(fā)布的內(nèi)容(圖片、視頻和文字)以原創(chuàng)、轉(zhuǎn)載和分享為主,文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng),如果涉及侵權(quán)請(qǐng)聯(lián)系站長(zhǎng)郵箱:is@yisu.com進(jìn)行舉報(bào),并提供相關(guān)證據(jù),一經(jīng)查實(shí),將立刻刪除涉嫌侵權(quán)內(nèi)容。

AI