Meine Frage nach der Konfig des Authentication Servers war auch ein wenig ein Test
Du musst mich doch nicht testen.
Hättest du mich einfach gefragt, hätte ich dir doch verraten, dass ich ein eigentlich eher hardwarenaher Softwareentwickler bin. Das ist mein erstes Projekt mit Kerberos, aber ich habe mich schon einige Stunden (mittlerweile bestimmt 30+) in die Materie eingelesen und auf dem System ausprobiert.
Bevor ich dir da jetzt noch weiterhelfe, möchte ich eine präzise Beschreibung aller beteiligten Server samt deren Dienste.
Außerdem die Anzahl von Maschinen und User.
Und was du wie verwalten willst, und welches Backend du letztlich für die Authentifizierung einsetzen möchtest.
Letztlich kann Kerberos so ziemlich jede Methode der Benutzerauthentifizierung verwenden.
Alles klar, bevor es zu weiterer Verwirrung kommt die ganze Story, auch wenn das dann etwas ausufert und OT ist:
Ich soll dafür sorgen, dass man über ein Webinterface die Benutzer auf einer Gateprotect Firewall administrieren kann.
Dafür habe ich ein virtuelles Testnetzwerk aufgebaut. In dem Netzwerk befindet sich eine gateprotect Firewall und der openSuse Leap 42.3 Authentication Server. Die Firewall gewährt Benutzern, die sich gegen den Authentification Server mit Kerberos authentifizieren konnten Rechte. Auf dem Authentification Server ist außerdem ein LDAP Directory in dem Benutzerdaten (Mail-Adresse, Telefonnummer, echter Name) der korrespondierenden Benutzer stehen. Ebenfalls auf diesem Server befindet sich ein Apache Webserver auf dem eine php-Seite läuft. Über diese Webseite werden die Benutzerdaten editiert (z.B. Benutzer deaktiviert, sodass die Firewall diese sperrt).
Aktuell funktioniert eigentlich alles, bis auf das ändern der Passwörter. Das LDAP Passwort kann ich mit der entsprechenden php-ldap-Bibliothek ändern, das Kerberos Passwort aber nicht. Daher habe ich versucht die Passwörter mit Smbkrb5pwd zu synchronisieren, was aber nicht funktionierte. Leider ist auch die php-krb Bibliothek kadm5 völlig veraltet und nicht lauffähig. Daher ist mein aktueller Ansatz von der php-Seite aus ein Bash-Script zu starten, welches dann mit dem yast Befehl die Passwörter im Authentification Server ändert. Von hinten durch die Brust ins Knie, ich weiß, aber Hauptsache ist dass es funktioniert.
Dafür muss ich wissen, wie ich die Passwörter von LDAP Benutzern im yast2 Authentification Server mittels Kommandozeilenbefehl ändern kann.