[这个问题不是让你的LDAP密码来validation你的SSHlogin。 我们工作得很好,谢谢:-)]
假设您在Linuxnetworking上(Ubuntu 11.10,slapd 2.4.23),您需要编写一套使用ldapmodify,ldapadd,ldapdelete等的实用程序。 你没有Kerberos,也不想处理它的超时(大多数用户不知道如何解决这个问题),怪癖等等。这就解决了问题,在哪里可以获得提供给LDAP,可能通过GSSAPI–尽pipe在那里占主导地位,技术上不需要Kerberos,或者类似的东西。
然而,几乎每个人似乎都有一个SSH代理程序,并完成其密钥caching。 我真的很喜欢ssh-add足以允许使用无密码的LDAP命令。
有谁知道使用SSH代理作为LDAP身份validation源的项目吗? 这可能是通过一个ssh感知的GSSAPI层,或者我没有想到的其他一些技巧。 但是,让LDAP变得毫不费力,这将是美好的。 假设我不是完全错过了使用ldapmodify和kin而不必键入我的LDAP密码的方法 – 使用-x是不可接受的。
在我的站点上,LDAP服务器只接受ldaps连接,并需要authentication修改操作。 当然这些都是要求。
OpenLDAP使用SASL进行身份validation。 SASL不理解ssh-keys。
但是,SASL确实拥有TLS库的挂钩。 您应该可以使用具有客户端证书的 SASL EXTERNAL TLS来执行所需的操作。 您可能还必须修改您的ACL或您的身份validation映射 。
在Kerberos上:
– 如果超时你的意思是clockskew,这就是NTP的目的。
– 如果你的意思是票到期,那么你会想要使用kstart 。