OpenLDAP + SASL + Active Directory

Mrothyr

Member
Hi,

langsam verzweifel ich. Hat jemand Erfahrungen mit dieser Kombination? Vielleicht eine Beispielkonfiguration?

Konkret versuche ich, mich von einem OpenBSD-Client per SASL/EXTERNAL mit Zertifikaten am AD zu authentifizieren (um keinen AD-Nutzer mit Benutzername und Passwort da auf die Box im Perimeter zu exponieren). Ich bekomme immer die Fehlermeldung

SASL/EXTERNAL authentication started
ldap_sasl_interactive_bind_s: Unknown authentication method (-6)
additional info: SASL(-4): no mechanism available:

Der DC nimmt grundsätzlich SASL/EXTERNAL-Authentifizierung an, mit entsprechenden Windows-nativen Tools getestet. Von der BSD-Box dagegen kommt nicht mal eine Authentifizierungs-Nachfrage im Eventlog vor. Simple Bind (-x) funktioniert, andere SASL-Mechanismen (wie GSSAPI) bringen eine analoge Fehlermeldung.

Die Zertifikate sind von der selben CA, Verbindungstest mit openssl funktioniert, ebenso die Überprüfung des Clientzertifikates. Ich gehe, vor allem wegen der kryptischen Fehlermeldung, von einem Fehler im Client (ldapsearch) aus. Google war nicht hilfreich, um dem gleich zuvorzukommen.

Ich habe jetzt einige Varianten probiert - bis hin zum Selbstbauen von OpenLDAP statt Paket. Die Dokumentation von SASL mit LDAP ist ziemlich bescheiden, insofern wäre ich für das Setup einer funktionierenden Variante sehr dankbar, damit ich einen Ausgangspunkt zur Fehlersuche habe.

Ach ja, die Konfiguration von /etc/openldap/ldap.conf:

BASE dc=example,dc=local
URI ldaps://dc.example.local
TLS_CACERT /etc/ssl/ca.pem
TLS_CERT /etc/ssl/client.pem
TLS_KEY /etc/ssl/private/client.key
TLS_REQCERT demand
SASL_MECH EXTERNAL

CU und danke ;)
 
Oben