OpenLDAP SASL认证

Question

我正在通过OpenLDAP设置此身份验证：

OpenLDAP ->传递(外部认证) -> SASL -> PAM -> RSA代理

以便通过RSA令牌访问应用程序。

从底部开始到顶部：

这是我的PAM配置：

#%PAM-1.0
auth required pam_securid.so
account      sufficient pam_ldap.so
account    include      password-auth
password      sufficient pam_ldap.so
password   include      password-auth

这个测试效果很好：

[root@ldap ~]# testsaslauthd -u goingsolo -p 11111111
0: OK "Success."

OpenLdap被正确配置为在纯文本中使用SASL身份验证：

[root@ldap /]# ldapsearch -h localhost -b "" -LLL -s base supportedSASLMechanisms -x
dn:
supportedSASLMechanisms: PLAIN

我的goingsolo用户的userPassword是用{SASL}goingsolo配置的，如果我执行SASL绑定，它可以工作：

[root@datap-keldap-1-n01 /]# ldapsearch -h localhost -b dc=ldap,dc=com -U "goingsolo" -w 11111111                  
SASL/PLAIN authentication started
0: OK "Success."

问题是，当我使用-D而不是-U执行简单绑定时，我会收到无效的凭据：

[root@datap-keldap-1-n01 /]# ldapsearch -h localhost -b dc=ldap,dc=com -D "cn=goingsolo,ou=People,dc=ldap,dc=com" -w 11111111                  
ldap_bind: Invalid credentials (49)

同样，当使用完整dn执行sasl绑定时，身份验证失败，因为来自/var/滞后/消息：

Mar 27 19:01:00 ldap saslauthd[11777]: do_auth         : auth failure: [user=cn=goingsolo,ou=People,dc=ldap,dc=com] [service=ldap] [realm=] [mech=pam] [reason=PAM auth error]

我想这是因为它不能从完整的dn转换到简单的用户(goingsolo)。

有什么好的建议吗？

Answer 1

问题在于OpenLdap是如何构建的(我猜编译错误)。我试着重新安装它，然后它成功了。确保SASL机制设置为平原。