Clientul Apple nu se poate conecta cu backend LDAP și GSSAPI sau PLAIN

Am un server OpenLDAP cu Kerberos5 pentru autentificare și în mediile Linux/Unix/Windows mă pot autentifica fără probleme. Serverul LDAP este configurat să utilizeze GSSAPI sau PLAIN care transmite prin SASL2 parola către PAM care se autentifică împotriva KERBEROS. Acest lucru se datorează faptului că unele software de server nu acceptă încă direct GSSAPI. Pe macOS (cel mai recent Monterey) pot obține ID-ul utilizatorilor și fac ldapsearch (GSSAPI) în serverul LDAP. În ssh am activat autentificarea GSSAPI cu curățarea acreditărilor și am autentificarea PAM setată la da.

Se pare că Unix-ul de bază (varianta BSD) funcționează bine cu LDAP, dar suprapunerea macOS face ceva amuzant.

Am dezactivat toate celelalte metode de autentificare, cu excepția GSSAPI și PLAIN cu:

/usr/libexec/PlistBuddy -c „adăugați „:module options:ldap:Denied SASL Methods:” șir <METHOD_NAME>” /Library/Preferences/OpenDirectory/Configurations/LDAPv3/<servername>.plist

am descoperit această discuție nu mi-a rezolvat problema.

Se pare că clientul Apple LDAP pentru LOGIN încearcă să obțină un bilet Kerberos5 cu informații despre utilizator ldap în loc de doar informații despre utilizator (LOG):

CLIENT_NOT_FOUND: uid=foobar,ou=People,dc=foobarbar,dc [email protected] pentru krbtgt/[email protected], Clientul nu a fost găsit în baza de date Kerberos

Orice sfat ar fi foarte apreciat!

Motivul pentru care nu există conectivitate la OpenLDAP - Apple este următorul:

În utilitarul Directory, utilizatorul pentru a se autentifica pe serverul LDAP trebuie să fie același cu cel definit în serverele OpenLDAP config root DSE - cn=config cu:

olcAuthzRegexp = {0}uid=([^,]*),cn=[^,]*,cn=auth uid=$1,ou=Utilizatori,dc=foo-bar,dc=com
Și
olcAuthzRegexp = {1}uid=<user_from_directory_utility>,cn=[^,]*,cn=auth cn=admin,dc=foo-bar,dc=com

De asemenea olcSaslSecProps trebuie sa fie: nonanonymous,noplain,noactiv