вторник, 15 апреля 2008 г.

Heimdal KCM

В коплекте поставки Heimdal Kerberos есть удобный демон KCM. В общем случае он служит для хранения билетов в памяти. Недостаток его в том, что только библиотеки Heimdal его поддерживают. В тоже время, во многих современных дистрибутивах, по умолчанию все пакеты собраны с MIT Kerberos. И nfs4 тоже. Тут можно было бы и забыть о KCM, но не будем этого делать. Для пользователя билет, к которому программы не имеют доступа, конечно бесполезен, но для служб, использующих бибилиотеку Cyrus SASL вполне подойдет.

Долгое время в debian/ubuntu пакет libsasl2-modules-gssapi-heimdal был просто заглушкой, и библиотек, собранных с поддержкой Heimdal, не содержал. В грядущем Hardy Heron ситуацию откатили и теперь это полноценный Heimdal GSSAPI. А значит библиотеки OpenLDAP теперь вполне могут пользоваться очень важной фишкой KCM - этот демон умеет держать билет системы в актуальном состоянии, своевременно его обновляя и переполучая заново.

Итак, правим стартовый скрипт, так, чтобы вышло примерно следующее:

HOSTNAME=`hostname -f`
KCM_PARAMS="--detach --cache-name=0 -k host/$HOSTNAME"


Правим конфиг libnss-ldapd:

uri ldap://kdc.realm.tld
base dc=realm,dc=tld
ldap_version 3
scope sub
use_sasl on
krb5_ccname KCM:0


И для нашей реплики LDAP добавляем (например в /etc/default/slapd):

export KRB5CCNAME="KCM:0"


Все, перезапускаем heimdal-kcm, пользуемся.

3 комментария:

Анонимный комментирует...

хорошая новость, жаль только в debian stable это не скоро появиться (придется портировать)

Deepwalker комментирует...

Ну это, я думаю, для вас не проблема : ) Каюсь - люблю тестовые версии использовать, пробовать новые фишки.

Xander комментирует...

Интересные у вас заметки про kerberos :)
А почему вы выбрали именно heimdal? Чем он отличается от реализации MIT или shishi?