Я установил Kerberos на машину Debian, на которой размещено внутреннее приложение, чтобы иметь возможность использовать его для аутентификации пользователей в нашей AD.
Это работает.
Однако Kerberos, кажется, чувствует себя ответственным за управление учетными записями пользователей Linux на этой машине и сообщает администратору ввести «Текущий пароль Kerberos», когда он пытается изменить пароль пользователя.
Поскольку мне не нужно и не хочу, чтобы пользователи Linux управлялись с помощью Kerberos, есть ли способ настроить Kerberos таким образом, что он действует только по запросу Apache?
Я понимаю, что в /etc/pam.d/ но я не уверен, какие изменения будут сохранены.
Ваша конфигурация pam для passwd обычно /etc/pam.d/chpasswd вызывает pam_krb5.so либо напрямую, либо как часть оператора include.
Kerberos (GSSAPI / SPNEGO) для HTTP SSO обрабатывается вне pam, что делает наиболее целесообразным решением полностью удалить его из вашей конфигурации pam (надеюсь, используя тот же метод, что и в том, что он вставил).