Heimdal KCM

В коплекте поставки Heimdal Kerberos есть удобный демон KCM. В общем случае он служит для хранения билетов в памяти. Недостаток его в том, что только библиотеки Heimdal его поддерживают. В тоже время, во многих современных дистрибутивах, по умолчанию все пакеты собраны с MIT Kerberos. И nfs4 тоже. Тут можно было бы и забыть о KCM, но не будем этого делать. Для пользователя билет, к которому программы не имеют доступа, конечно бесполезен, но для служб, использующих бибилиотеку Cyrus SASL вполне подойдет.

Долгое время в debian/ubuntu пакет libsasl2-modules-gssapi-heimdal был просто заглушкой, и библиотек, собранных с поддержкой Heimdal, не содержал. В грядущем Hardy Heron ситуацию откатили и теперь это полноценный Heimdal GSSAPI. А значит библиотеки OpenLDAP теперь вполне могут пользоваться очень важной фишкой KCM - этот демон умеет держать билет системы в актуальном состоянии, своевременно его обновляя и переполучая заново.

Итак, правим стартовый скрипт, так, чтобы вышло примерно следующее:

HOSTNAME=`hostname -f`
KCM_PARAMS="--detach --cache-name=0 -k host/$HOSTNAME"

Правим конфиг libnss-ldapd:

uri ldap://kdc.realm.tld
base dc=realm,dc=tld
ldap_version 3
scope sub
use_sasl on
krb5_ccname KCM:0

И для нашей реплики LDAP добавляем (например в /etc/default/slapd):

export KRB5CCNAME="KCM:0"

Все, перезапускаем heimdal-kcm, пользуемся.