При настройке MIT Kerberos для использования базы данных LDAP вместо DB2 я был удивлен, увидев, что хэши паролей пользователей хранятся в двух разных полях: userPassword и krbPrincipalKey. Кажется, алгоритмы хеширования могут быть разными, но это тоже кажется ненужным. Почему бы просто не объединиться, чтобы избежать проблем с синхронизацией?
OpenLDAP не может напрямую обрабатывать krbPrincipalKey данные для аутентификации. Я не совсем знаком с тем, как FreeIPA обрабатывает пароли, но для других установок OpenLDAP / Kerberos OpenLDAP часто инструктируют использовать Сквозная аутентификация SASL.