У меня есть система, которая в настоящее время использует сервер LDAP / AD для аутентификации через pam и модуль pam_ldap. Чтобы использовать этот сервер для аутентификации, pam_ldap требует учетной записи, которая предоставляет мне данные о LDAP. Данные учетной записи обычно заполняются через поля конфигурации binddn и bindpw. Насколько я понимаю, модуль pam входит в систему с помощью binddn и bindpw, затем выполняет поиск пользователя, а затем связывает каждого пользователя, который может войти в систему.
Администраторы сервера LDAP / AD хотят, чтобы я использовал keytab Kerberos, загруженный в мою систему, вместо предоставления binddn и bindpw. Итак, мой вопрос:
Как я могу настроить pam для этой ситуации?
Я могу получить ldapsearch команды для работы с учетными данными Kerberos, но pam_ldap документация заявляет, что для начальной привязки поддерживается только простая аутентификация. Это означает, что серверу необходимо будет предоставить binddn и bindpw (которые они хотят прекратить использовать) или разрешить анонимные привязки, которые они определенно не хотят разрешать.
я нашел это страница который содержит раздел под названием «Настроить аутентификацию Kerberos для привязки LDAP», который звучит как именно то, что я хочу сделать, но я не смог понять, как применить его в моей ситуации. Любая помощь, направление или сочувствие будут очень благодарны.
Это самое близкое к моей проблеме, которое я уже нашел здесь: ссылка на сайт.
Тебе нужно pam_kgb5 модуль для реализации такой аутентификации (есть много инструкций о том, как это настроить)
Когда аутентификация Kerberos LDAP не используется на клиенте.