Kerberos 绑定

在线编辑

除了使用绑定 DN 和绑定密码的简单绑定之外,secldapclntd 守护程序还支持使用 Kerberos V 凭证的绑定。

绑定主体的密钥存储在密钥表文件中,需要提供给 secldapclntd 守护程序才能使用 Kerberos 绑定。 在启用 Kerberos 绑定的情况下, secldapclntd 守护程序使用 /etc/security/ldap/ldap.cfg 客户机配置文件中指定的主体名称和密钥表对 LDAP 服务器执行 Kerberos 认证。 使用 Kerberos 绑定会使 secldapclntd 守护程序忽略 /etc/security/ldap/ldap.cfg 文件中指定的绑定 DN 和绑定密码。

当 Kerberos 认证成功时,secldapclntd 守护程序将绑定凭证保存到 /etc/security/ldap/krb5cc_secldapclntd 目录中。 保存的凭证将用于以后重新绑定。 如果在 secldapclntd 守护程序尝试与 LDAP 服务器重新绑定时,凭证存在超过一个小时,那么 secldapclntd 守护程序将初始化以更新凭证。

要将 LDAP 客户机系统配置为使用 Kerberos 绑定,必须使用绑定 DN 和绑定密码使用 mksecldap 命令来配置客户机。 如果配置成功,请使用 Kerberos 相关属性的正确值编辑 /etc/security/ldap/ldap.cfg 文件。 secldapclntd 守护程序在重新启动时使用 Kerberos 绑定。 成功配置后,将不再使用绑定 DN 和绑定密码。 可以安全地将它们从 /etc/security/ldap/ldap.cfg 文件中除去或注释掉。