FreeBSD Version

Und hier nun die Konfiguration über slapd.conf

Ausgangslage Beispiel:

Nachfolgendes ist in die slapd.conf einzufügen.

# SASL DIGEST-MD5 authorisation replacement directive
# This parameter is in the format of:
# uid=<username>,cn=<realm>,cn=<mech>,cn=auth
# The username is taken from sasl and inserted into the ldap search
# string in the place of $1. Your realm is supposed to be your FQDN
# (fully qualified domain name)
authz-regexp uid=Manager,cn=[^,]*,cn=auth cn=Manager,dc=calmar ,dc=net 
authz-regexp uid=([^,]*),cn=[^,]*,cn=auth uid=$1,ou=people,dc=calmar ,dc=net 
authz-policy      to
# enable LDAP to help SASL to use passworts stored in LDAP database
password-hash   {CLEARTEXT}

Zum Verständnis:

Der OpenLDAP Server beherrscht von Haus 3 Methoden (GSSAPI/Kerberos/DIGEST-MD5). Diese Methoden müssen nicht ausgewählt oder konfiguriert werden, sie stehen immer sofort zur Verfügung. Es muss letztendlich nur ein Umschreiben der Authentifizierungsanforderung stattfinden. Dies geschieht in diesen Anweisungen:

authz-regexp uid=Manager ,cn=[^,]*,cn=auth cn=Manager,dc=calmar ,dc=net 
authz-regexp uid=([^,]*),cn=[^,]*,cn=auth uid=$1,ou=people,dc=calmar ,dc=net 
authz-policy      to

Die Zeile

password-hash   {CLEARTEXT}

zwingt LDAP dazu das Passwort im Verzeichnisdienst selbst im Klartext zu speichern.Ist dies nicht gesetzt geht die Authentifizierung schief - da der DIGEST-MD5 Dienst das Passwort dann nicht lesen kann.

Danach kann man einen Test absetzen mit:

itoko# ldapsearch -Y DIGEST-MD5 -U ijin
SASL/DIGEST-MD5 authentication started
Please enter your password:
SASL username: ijin
SASL SSF: 128
SASL data security layer installed.
# extended LDIF
#
# LDAPv3
# base <> (default) with scope subtree
# filter: (objectclass=*)
# requesting: ALL
#

# search result
search: 3
result: 32 No such object

# numResponses: 1

oder wahlweise auch:

itoko# ldapsearch -Y DIGEST-MD5 -U ijin -b dc=calmar,dc=net

(V 1.03)