Ldap
使用現有 LDAP 使用者播種 Kerberos
389 Directory Server
LDAP
到目前為止,我的組織一直在使用來管理身份驗證。我的任務是為此目的切換到Kerberos
,但我仍然想保留LDAP
非身份驗證相關數據。我的問題在於播種現有使用者。
據我了解,
LDAP
保留散列密碼,但在創建使用者時基於純文字密碼Kerberos
生成**密鑰。**有沒有辦法使用散列密碼代替?我知道這是可能的LDAP
。一位朋友遇到了類似的問題,他的解決方案是在每次身份驗證嘗試時擷取使用者/純文字密碼請求,並使用該資訊為他的
Kerberos
數據庫播種幾個月(以獲取所有“活躍”使用者),但這會帶來一些安全風險。另一種選擇是向所有使用者發送大量電子郵件,迫使他們重置密碼,但我寧願避免這樣做。
有沒有更好的辦法?
這應該為您指明正確的方向:
您可以稍微修改pam-krb5,以便
pam_sm_authenticate
實際呼叫pam_sm_chauthtok
並返回PAM_IGNORE
。這樣 pam_krb5 將更改密碼而不是進行身份驗證。