ไคลเอนต์ Apple ไม่สามารถเข้าสู่ระบบด้วยแบ็กเอนด์ LDAP และ GSSAPI หรือ PLAIN

ฉันมีเซิร์ฟเวอร์ OpenLDAP ที่มี Kerberos5 สำหรับการตรวจสอบสิทธิ์ และในสภาพแวดล้อม Linux/Unix/Windows ฉันสามารถเข้าสู่ระบบได้โดยไม่มีปัญหา เซิร์ฟเวอร์ LDAP ได้รับการกำหนดค่าให้ใช้ GSSAPI หรือ PLAIN ที่ส่งผ่าน SASL2 รหัสผ่านไปยัง PAM ที่ตรวจสอบความถูกต้องกับ KERBEROS เนื่องจากซอฟต์แวร์เซิร์ฟเวอร์บางตัวยังไม่รองรับ GSSAPI โดยตรง บน macOS (Monterey ล่าสุด) ฉันสามารถรับ ID ของผู้ใช้และทำ ldapsearch (GSSAPI) ในเซิร์ฟเวอร์ LDAP ใน ssh ฉันได้เปิดใช้งานการเข้าสู่ระบบ GSSAPI ด้วยการล้างข้อมูลประจำตัวและฉันได้ตั้งค่า PAM auth เป็นใช่

ดูเหมือนว่า Unix พื้นฐาน (ตัวแปร BSD) จะทำงานได้ดีกับ LDAP แต่การซ้อนทับ macOS ทำอะไรตลกๆ

ฉันได้ปิดใช้งานวิธีการตรวจสอบสิทธิ์อื่นๆ ทั้งหมดยกเว้น GSSAPI และ PLAIN ด้วย:

/usr/libexec/PlistBuddy -c "add ':module options:ldap:Denied SASL Methods:' string <METHOD_NAME>" /Library/Preferences/OpenDirectory/Configurations/LDAPv3/<servername>.plist

ฉันค้นพบ การอภิปรายนี้ ไม่ได้แก้ปัญหาของฉัน

ดูเหมือนว่าไคลเอนต์ Apple LDAP สำหรับการเข้าสู่ระบบพยายามรับตั๋ว Kerberos5 พร้อมข้อมูลผู้ใช้ ldap แทนที่จะเป็นแค่ข้อมูลผู้ใช้ (LOG):

CLIENT_NOT_FOUND: uid=foobar,ou=People,dc=foobarbar,dc [email protected] สำหรับ krbtgt/[email protected] ไม่พบไคลเอนต์ในฐานข้อมูล Kerberos

เคล็ดลับใด ๆ ที่จะได้รับการชื่นชมอย่างมาก!

เหตุผลที่ไม่มีการเชื่อมต่อกับ OpenLDAP - Apple มีดังต่อไปนี้:

ในยูทิลิตีไดเร็กทอรี ผู้ใช้ที่จะตรวจสอบความถูกต้องกับเซิร์ฟเวอร์ LDAP จะต้องเหมือนกันกับที่กำหนดไว้ในเซิร์ฟเวอร์ OpenLDAP config root DSE - cn=config with:

olcAuthzRegexp = {0}uid=([^,]*),cn=[^,]*,cn=auth uid=$1,ou=Users,dc=foo-bar,dc=com
และ
olcAuthzRegexp = {1}uid=<user_from_directory_utility>,cn=[^,]*,cn=auth cn=admin,dc=foo-bar,dc=com

อีกด้วย olcSaslSecProps ต้องเป็น: ไม่ระบุชื่อ ไม่ธรรมดา ไม่ใช้งาน