Kerberos+LDAP+NFSv4 实现单点登录(续4)--SASL/GSSAPI

Posted

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了Kerberos+LDAP+NFSv4 实现单点登录(续4)--SASL/GSSAPI相关的知识,希望对你有一定的参考价值。

前篇<Kerberos+LDAP+NFSv4 实现单点登录(续1)--dns+dhcp>的krb5 + ldap + bind9 + bind9-dyndb-ldap 全面升级到debian 10,出现bind9-dyndb-ldap的GSSAPI+krb5_keytab认证机制无法连接ldap数据库.
查看日志:
SASL/GSSAPI authentication started
Error: Local error
Additional info: SASL(-1): generic failure: GSSAPI Error: Miscellaneous failure (see text) (Did not find a plugin for ccache_ops)

网上搜索有关GSSAPI+ccache_ops未果,不得不自己动手调试.
思路:从bind9-dyndb-ldap软件包开始及其各依赖包逐个手动降级;或者从正常debian 9开始,修改软件源为debian 10,逐个升级.即降级/升级一个,测试一次.
说明:debian系统是无法自动降级的,可修改软件源为低版或手动下载低版deb包重装软件包

实际整个调试过程还是盲人摸象.krb5、ldap、sasl都是复杂的东西,问题有可能在服务端,也有可能在客户端,也有可能配置上漏缺.
本人能力有限,也希望从源码定位到问题位置,按日志出现的关键词‘plugin for ccache_ops‘搜索上面三者源代码,也仅仅搜到片言只语,不知所然.

功夫不负有心人,从各个依赖包逐个降级,很幸运定为到libsasl2-modules-gssapi-heimdal软件包,也就是说,其它相关的软件包都用debian 10最新版,配置文件不需更改,
只要将libsasl2-modules-gssapi-heimdal软件包降级,bind9-dyndb-ldap就正常连接到ldap数据库.
debian 10 版本是2.1.27+dfsg-1
debian 9 版本是2.1.27~101-g0780600+dfsg-3
实际就一个文件/usr/lib/x86_64-linux-gnu/sasl2/libgssapiv2.so.2.0.25,用debian 9 版本解包直接替换掉就可.

sasl/gssapi也算比较常用的应用,但问题是libsasl2-modules-gssapi-heimdal的2.1.27+dfsg-1版至今到debian 11还一直未更新,采用2.1.27+dfsg-1版的其它sasl/gssapi应用都正常.
如openldap客户端工具在2.1.27+dfsg-1版下正常,如下命令
ldapwhoami -Y GSSAPI -h 192.168.1.11
因此也确定不了2.1.27+dfsg-1版这个出错究竟是BUG还是这个升级版需sasl/gssapi客/服进一步配置?
或者如我的需求bind9-dyndb-ldap+SASL/GSSAPI就比较少见了,所以网上几乎搜不到相关问题,也确定不了是不是bind9-dyndb-ldap问题.
该问题很平静,所以可能深藏着.要调试bind9-dyndb-ldap很麻烦,转个思路,自己编写最简单的ldap/sasl/gssapi/krb5客户端程序测试,果不其然,发现是使用内存票据会出现该问题.
krb5客户端可以指定票据的位置,如下
"MEMORY:krb5cc_1000" 存放在进程内存里
"FILE:/tmp/krb5cc_1000" 存放在临时目录下

krb5的票据通常是放在临时目录下,即如/tmp/krb5cc_1000的票据文件,openldap客户端工具就是读取临时目录下的票据.
经测试,libsasl2-modules-gssapi-heimdal 2.1.27+dfsg-1版对内存票据有BUG,对文件票据正常.
在前篇 <Kerberos+LDAP+NFSv4 实现单点登录> SSSD客户机安装提到libsasl2-modules-gssapi-mit和libsasl2-modules-gssapi-heimdal两者可互相替换.
因此安装debian 10的libsasl2-modules-gssapi-mit,对内存票据已完全正常.mit版更主流,或许正因为有mit版可代替heimdal版,所以heimdal版问题很平静.

小结:
对于sasl/gssapi应用,请安装libsasl2-modules-gssapi-mit

后记:
1.对于krb5客户端,尽量使用mit版,Kerberos本就是mit发明,更活跃.
2.我的Kerberos服务器为什么要采用heimdal版?
因为我的目标Kerberos+LDAP一体,两套密码同步.

                                        mit                              heimdal 
-----------------------------------------------------------------------------------------------------
krb5服务器通过EXTERNAL连接ldap       不支持                                  支持
通过slapd-smbk5pwd同步密码            不支持                                   支持

3.debian 10的bind9-dyndb-ldap配置格式有新的变化
客/服配置请先参考前篇<Kerberos+LDAP+NFSv4 实现单点登录(续1)--dns+dhcp>,然后按下面:

但请按Kerberos使用自己本地数据库来理解下面的配置,因为使用ldap作为Kerberos后端数据库后来理解krb5主体和ldap条目很混淆

1)bind9-dyndb-ldap配置
/etc/bind/named.conf.ldap
//其它略
...
//不同体系路径如/usr/lib/i386-linux-gnu/bind/ldap.so
dyndb "my_db_name" "/usr/lib/bind/ldap.so" {
server_id "";
directory "/var/cache/bind";
uri "ldap://127.0.0.1";
base "ou=dns,dc=ctp,dc=net";

//认证机制
auth_method "sasl";
sasl_mech "GSSAPI";
//--v-- 添加krb5主体
krb5_principal "dnsadmin@CTP.NET";
krb5_keytab "FILE:/etc/bind/krb5.keytab";
//--^--
timeout 50;
reconnect_interval 100;
};

2)ldap配置
/etc/ldap/slapd.d/cn=config/olcDatabase={1}mdb.ldif
#其它略
...
olcAccess: {3}to dn.subtree="ou=dns,dc=ctp,dc=net" by dn="uid=dnsadmin,cn=gssapi,cn=auth" write by * read
...

说明:
配置krb5主体dnsadmin写ldap数据库权限,如果只需读权限,应该不需配置;
"cn=gssapi,cn=auth"是固定格式的,用来表示是krb5条目(此处krb5条目不是指使用ldap作为Kerberos后端存放在ldap数据库里所体现的条目,你可按Kerberos使用自己数据库来理解),ldap数据库不需创建存储"uid=dnsadmin,cn=gssapi,cn=auth" krb5条目;
其它的名字"dnsadmin"、"dns"、"ctp"、"net"按你实际名称填写.

3)运行以下命令
kadmin -l add -r --use-defaults dnsadmin
kadmin -l ext -k /etc/bind/krb5.keytab dnsadmin

使用ldap作为Kerberos后端,add命令自动在ldap数据库里添加krb5主体dnsadmin的条目"krb5PrincipalName=dnsadmin@CTP.NET,ou=hdkrb5,dc=ctp,dc=net"

chown bind:bind /etc/bind/krb5.keytab
chmod o-r /etc/bind/krb5.keytab
chmod g-r /etc/bind/krb5.keytab

4.其它注意事项
我的 krb5 + ldap + bind9 + bind9-dyndb-ldap 一体机kdc服务器(192.168.1.11)
1)
当/etc/resolv.conf为空
或设nameserver 127.0.0.1
或设nameserver 192.168.1.11
或设nameserver 192.168.1.xx 同kdc服务器网段随便不存在的地址
bind9启动失败,提示超时

假如以上述resolv.conf配置,将/etc/bind/named.conf.ldap的sasl/gssapi认证机制改为匿名
auth_method "none";
bind9启动能成功,虽然匿名无法写入ldap,但dig读取成功;说明可能是sasl/gssapi机制的缘故.

2)
必须往/etc/resolv.conf添加和kdc服务器不同网段不存在的地址
如nameserver 127.0.0.2
或nameserver 192.168.2.22

sasl/gssapi认证机制,bind9启动才成功,缘由不明.

以上是关于Kerberos+LDAP+NFSv4 实现单点登录(续4)--SASL/GSSAPI的主要内容,如果未能解决你的问题,请参考以下文章

Kerberos+LDAP+NFSv4 实现单点登录(续2)--一键安装

Kerberos+LDAP+NFSv4 实现单点登录(中)

Kerberos+LDAP+NFSv4 实现单点登录(续4)--SASL/GSSAPI

Kerberos+LDAP+NFSv4 实现单点登录(下)

从零构建ipa-server.实现ldap+kerberos网络用户验证

Spring Webflux + LDAP/Kerberos 安全性