在針對第三方密碼儲存成功進行身份驗證時授予 Kerberos 票證

我目前正在建構一個我想部署 Kerberos 的系統。但是，我對使用者管理的外部限制不允許我針對 Kerberos 本身對使用者進行身份驗證。我確實必須針對第三方 LDAP 伺服器對使用者進行身份驗證，並且我無法從中讀取密碼。

但是，我確實得到了身份驗證是否成功的答案。如果此身份驗證成功，我現在想自動為這些使用者授予其主體的 Kerberos 票證。有什麼方法可以設置 Kerberos 以通過 SASL 向第三方驗證傳遞給它的密碼？

我可能看到的一種解決方案是在使用者主目錄中創建 keytab 文件，init 腳本會自動使用這些文件來獲取 Kerberos 票證。但是，我認為這些密鑰表文件可能會被濫用，因此我更喜歡基於密碼的替代方案。

您要做的是將 Ticket Granting Server 和 Authentication Server 分開。理論上是可以的，但是好像沒有實現。這個問題已經在這裡回答了：

Kerberos：分離 AS 和 TGS

應該可以進行 Kerberos 跨領域身份驗證。也許這可以幫助你！

https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/5/html/Deployment_Guide/sec-kerberos-crossrealm.html

引用自：https://serverfault.com/questions/742674