Máy khách Apple không thể đăng nhập bằng chương trình phụ trợ LDAP và GSSAPI hoặc PLAIN

Tôi có máy chủ OpenLDAP với Kerberos5 để xác thực và trên môi trường Linux/Unix/Windows, tôi có thể đăng nhập mà không gặp sự cố. Máy chủ LDAP được định cấu hình để sử dụng GSSAPI hoặc PLAIN chuyển qua SASL2 mật khẩu tới PAM để xác thực với KERBEROS. Điều này là do một số phần mềm máy chủ chưa hỗ trợ trực tiếp GSSAPI. Trên macOS (Monterey mới nhất), tôi có thể lấy ID của người dùng và thực hiện ldapsearch (GSSAPI) vào máy chủ LDAP. Trong ssh, tôi đã kích hoạt đăng nhập GSSAPI bằng cách xóa thông tin xác thực và tôi đã đặt xác thực PAM thành có.

Có vẻ như Unix cơ bản (biến thể BSD) hoạt động tốt với LDAP nhưng lớp phủ macOS lại gây ra điều gì đó buồn cười.

Tôi đã tắt tất cả các phương thức xác thực khác ngoại trừ GSSAPI và PLAIN bằng:

/usr/libexec/PlistBuddy -c "add ':module options:ldap:Denied SASL Methods:' string <METHOD_NAME>" /Library/Preferences/OpenDirectory/Configurations/LDAPv3/<servername>.plist

tôi đa kham pha ra cuộc thảo luận này không giải quyết được vấn đề của tôi.

Có vẻ như ứng dụng khách LDAP của Apple dành cho ĐĂNG NHẬP cố lấy vé Kerberos5 với thông tin người dùng ldap thay vì chỉ thông tin người dùng (LOG):

CLIENT_NOT_FOUND: uid=foobar,ou=People,dc=foobarbar,dc [email protected] cho krbtgt/[email protected], Không tìm thấy ứng dụng khách trong cơ sở dữ liệu Kerberos

Bất kỳ lời khuyên sẽ được đánh giá cao!

Lý do không có kết nối với OpenLDAP - Apple như sau:

Trong tiện ích Thư mục, người dùng để xác thực với máy chủ LDAP cần phải giống như được xác định trong cấu hình máy chủ OpenLDAP root DSE - cn=config với:

olcAuthzRegexp = {0}uid=([^,]*),cn=[^,]*,cn=auth uid=$1,ou=Users,dc=foo-bar,dc=com
Và
olcAuthzRegexp = {1}uid=<user_from_directory_utility>,cn=[^,]*,cn=auth cn=admin,dc=foo-bar,dc=com

Cũng thế olcSaslSecProps cần phải là: không ẩn danh, không rõ ràng, không hoạt động