Łączenie z wykorzystaniem protokołu Kerberos

Oprócz prostego łączenia za pomocą nazwy wyróżniającej oraz hasła łączenia, demon secldapclntd obsługuje także łączenie za pomocą referencji protokołu Kerberos V.

Klucze łączenia podmiotu Kerberos przechowywane są w pliku keytab i, aby można było użyć łączenia z wykorzystaniem protokołu Kerberos, muszą być dostępne dla demona secldapclntd. Gdy łączenie Kerberos jest włączone, demon secldapclntd przeprowadza uwierzytelnianie na serwerze LDAP za pomocą protokołu Kerberos, korzystając z nazwy użytkownika Kerberos oraz pliku keytab podanych w pliku konfiguracyjnym klienta /etc/security/ldap/ldap.cfg. Korzystanie z łączenia Kerberos powoduje, że demon secldapclntd ignoruje nazwę wyróżniającą oraz hasło łączenia podane w pliku /etc/security/ldap/ldap.cfg.

Gdy uwierzytelnianie za pomocą protokołu Kerberos powiedzie się, demon secldapclntd zapisuje referencje łączenia w katalogu /etc/security/ldap/krb5cc_secldapclntd . Zapisane referencje wykorzystywane są do późniejszego ponownego łączenia. Jeśli w momencie, gdy demon secldapclntd spróbuje ponownie połączyć się z serwerem LDAP, referencje będą starsze niż jedna godzina, demon secldapclntd reinicjuje proces odnowienia referencji.

Aby system klienta LDAP skonfigurować w celu korzystania z łączenia Kerberos, należy skorzystać z komendy mksecldap oraz nazwy wyróżniającej i hasła łączenia. Jeśli konfigurowanie powiedzie się, należy dokonać edycji pliku /etc/security/ldap/ldap.cfg podając poprawne wartości dla atrybutów związanych z protokołem Kerberos. Demon secldapclntd korzysta z łączenia Kerberos podczas restartu. Po pomyślnym skonfigurowaniu nazwa wyróżniająca oraz hasło łączenia nie są już używane. Mogą zostać bezpiecznie usunięte z pliku /etc/security/ldap/ldap.cfg lub pozostawione jako komentarz.