Ситуация сегодня: у нас есть работающий sssd-config на нескольких Ubuntu-клиентах. Этот конфиг содержит аутентификацию на LDAP-сервере. SASL-Mech указан как "gssapi" и использует файл krb5-keytab. Бомбастическая особенность: указанный пользователь keytab-файла истекает каждые 90 дней. Не так уж и плохо, но замена keytab-файла на клиентах займет много времени, а дополнительные - более рискованные.
Завтра ситуация будет такой: если возможно, мы хотели бы использовать учетные данные, используемые для входа в систему, потому что LDAP не доступен для анонимного чтения и каждый пользователь домена будет иметь доступ для чтения. На самом деле, у меня нет идеи помещать активные учетные данные в sssd для проверки аутентификации по LDAP. Любая помощь будет оценена!
Прежде чем просить не истекать срок действия этого пользователя: мы находимся в какой-то сложной сети, которая не управляется нами, и нам разрешено использовать только этих пользователей.
Вы можете использовать ldap_default_bind_dn вместе с ldap_default_authtok_type = password, а затем поместить учетные данные для входа в ldap_default_authtok.