使用現有 LDAP 使用者播種 Kerberos

389 Directory Server LDAP到目前為止，我的組織一直在使用來管理身份驗證。我的任務是為此目的切換到Kerberos，但我仍然想保留LDAP非身份驗證相關數據。

我的問題在於播種現有使用者。

據我了解，LDAP保留散列密碼，但在創建使用者時基於純文字密碼Kerberos生成**密鑰。**有沒有辦法使用散列密碼代替？我知道這是可能的LDAP。

一位朋友遇到了類似的問題，他的解決方案是在每次身份驗證嘗試時擷取使用者/純文字密碼請求，並使用該資訊為他的Kerberos數據庫播種幾個月（以獲取所有“活躍”使用者），但這會帶來一些安全風險。

另一種選擇是向所有使用者發送大量電子郵件，迫使他們重置密碼，但我寧願避免這樣做。

有沒有更好的辦法？

這應該為您指明正確的方向：

您可以稍微修改pam-krb5，以便pam_sm_authenticate實際呼叫pam_sm_chauthtok並返回PAM_IGNORE。這樣 pam_krb5 將更改密碼而不是進行身份驗證。

引用自：https://serverfault.com/questions/995232