API Kerberos pour administrer

**ageofempiresz** · 03/07/2020, 19h41

Bonjour,

J'ai recherche s'il existe une API pour Kerberos afin de faire du provisioning d'utilisateurs pour ensuite industrialiser avec Ansible.

De mon côté, j'ai trouvé kadmin pour administrer à distance le serveur Kerberos

http://web.mit.edu/~kerberos/krb5-cu...min_local.html

Depuis le serveur Kerberos

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
#Ajouter d'un utilisateur dans la base de données KDC et ajout des objectclass et attributs Kerberos
kadmin.local -q 'addprinc -pw "Azerty01*" -x dn="uid=toto,ou=users,dc=titi,dc=lol,dc=test,dc=bob" toto'
 
#Suppression d'un utilisateur dans la base de données KDC et des objectclass et attributs Kerberos
kadmin.local -q 'delprinc -force toto'
 
#Changement du MDP
kadmin.local -q 'cpw -pw "Azerty01*" toto'
 
#Visualiser les paramètres d'un utilisateur
kadmin.local -q 'getprinc toto'

Remote kadmin depuis un autre serveur

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
#Ajouter d'un utilisateur dans la base de données KDC et ajout des objectclass et attributs Kerberos
kadmin -p root/admin -w 'Azerty01*' -q 'addprinc -pw "Azerty01*" -x dn="uid=toto,ou=users,dc=titi,dc=lol,dc=test,dc=bob" toto'
 
#Changement du MDP
kadmin -p root/admin -w 'Azerty01*' -q 'cpw -pw "Azerty01*" toto'
 
#Suppression d'un utilisateur dans la base de données KDC et des objectclass et attributs Kerberos
kadmin -p root/admin -w 'Azerty01*' -q 'delprinc -force toto'
 
#Visualiser les paramètres d'un utilisateur
kadmin -p root/admin -w 'Azerty01*' -q 'getprinc toto'

Si vous avez des idées je suis preneur.

**ageofempiresz** · 12/07/2020, 22h41

Mon but est d'unifier le mot de passe entre OpenLDAP et celui Kerberos sur l'attribut UserPassword, la piste que d'utiliser du SASL.

Car chaque protocole à sa gestion de mot de passe.

**ageofempiresz** · 04/08/2020, 23h18

Mauvais piste cela remplace le UserPassword dans OpenLdap par celui de Kerberos. Ex: userPassword: {SASL}user@EXAMPLE.COM

https://stackoverflow.com/questions/...beros-database
https://www.cyrusimap.org/sasl/sasl/...sl-gssapi.html
C'est pas mon but.

Il y aurait peut-être SMBKRB5PWD, mais j'ai pas besoin samba, cela reste à voir.

https://opinsys.fi/smbkrb5pwd-passwo...ros-and-samba/

**ageofempiresz** · 22/08/2020, 14h27

Finalement, le SASL est souple, il suffit de choisir les utilisateurs qui feront du SASL.

API Kerberos pour administrer

RedHat / CentOS / Fedora

Discussions similaires

Partager

Partager