Linux
在針對第三方密碼儲存成功進行身份驗證時授予 Kerberos 票證
我目前正在建構一個我想部署 Kerberos 的系統。但是,我對使用者管理的外部限制不允許我針對 Kerberos 本身對使用者進行身份驗證。我確實必須針對第三方 LDAP 伺服器對使用者進行身份驗證,並且我無法從中讀取密碼。
但是,我確實得到了身份驗證是否成功的答案。如果此身份驗證成功,我現在想自動為這些使用者授予其主體的 Kerberos 票證。有什麼方法可以設置 Kerberos 以通過 SASL 向第三方驗證傳遞給它的密碼?
我可能看到的一種解決方案是在使用者主目錄中創建 keytab 文件,init 腳本會自動使用這些文件來獲取 Kerberos 票證。但是,我認為這些密鑰表文件可能會被濫用,因此我更喜歡基於密碼的替代方案。
您要做的是將 Ticket Granting Server 和 Authentication Server 分開。理論上是可以的,但是好像沒有實現。這個問題已經在這裡回答了:
應該可以進行 Kerberos 跨領域身份驗證。也許這可以幫助你!