Ldap

使用現有 LDAP 使用者播種 Kerberos

  • December 21, 2019

389 Directory Server LDAP到目前為止,我的組織一直在使用來管理身份驗證。我的任務是為此目的切換到Kerberos,但我仍然想保留LDAP非身份驗證相關數據。

我的問題在於播種現有使用者

據我了解,LDAP保留散列密碼,但在創建使用者時基於純文字密碼Kerberos生成**密鑰。**有沒有辦法使用散列密碼代替?我知道這是可能的LDAP

一位朋友遇到了類似的問題,他的解決方案是在每次身份驗證嘗試時擷取使用者/純文字密碼請求,並使用該資訊為他的Kerberos數據庫播種幾個月(以獲取所有“活躍”使用者),但這會帶來一些安全風險。

另一種選擇是向所有使用者發送大量電子郵件,迫使他們重置密碼,但我寧願避免這樣做。

有沒有更好的辦法?

這應該為您指明正確的方向:

您可以稍微修改pam-krb5,以便pam_sm_authenticate實際呼叫pam_sm_chauthtok並返回PAM_IGNORE。這樣 pam_krb5 將更改密碼而不是進行身份驗證。

引用自:https://serverfault.com/questions/995232