С чего начинать настройку?

Есть желание приобщиться к настройке "сквозной авторизации" (SSO). Выбрал для экспериментов связку OpenLDAP + MIT Kerberos. Естественно репликация и OpenLDAP, и Kerberos. То есть, схема примерно следующая:
Машина1 (master)
|--- ldap1.site.ru
|----kdc1.site.ru
Машина2 (slave)
|--- ldap2.site.ru
|----kdc2.site.ru
Мануалов по настройке служб в отдельности много, с этим проблем нет. К сожалению, никак не придет понимание того, что за чем и в какой последовательности настраивается. В доках к Керберосу описывается, что сначала мы настраиваем Керберос, а затем опенлдап как базу для хранения пользователей. В настройке опенлдапа всё наоборот.
Пока есть в понимании следующие схемы работы:
1. Сначала я настраиваю slapd на обеих машинах, настраиваю репликация OpenLDAP, затем настраиваю Керберос и его репликацию.
2. Сначала настраиваю slapd на обеих машинах, настраиваю Керберос. И в Керберос уже настраиваю что и как должно реплицироваться. (если вообще так возможно)
Подскажите алгоритм действий.
Что на практике предпочтительнее настраивать сначала?
  • Вопрос задан
  • 783 просмотра
Пригласить эксперта
Ответы на вопрос 2
AxianLTD
@AxianLTD
Я бы взял freeipa - больше пользы будет и проще в большинстве случаев настраивать.
Ответ написан
icCE
@icCE
youtube.com/channel/UC66N_jRyZiotlmV95QPBZfA
Просто для себя определите что: openldap это протокол доступа к каталогам , а Kerberos - это сетевой протокол аутентификации.

Что настраивать первым ? Ну смотрите, если мы настроем первым Kerberos мы сможем пройти аутентификацию, а дальше надо пройти авторизацию. Вопрос кто это будет делать ? Нужен Ldap. Ldap может работать без Kerberos и производить авторизацию, но это не считается безопасным , поэтому мы используем аутентификацию. Проблема курицы и яйца :) Я обычно изначально настраиваю всегда kerberos, а потом ldap. Так как kerberos можно использовать не только для ldap, а например для ssh.
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы