Использовать предпочтительное имя пользователя, но аутентифицироваться по принципалу Kerberos

То, что я хочу сделать, должно быть довольно простым.

У меня есть коробка Ubuntu 10.04. В настоящее время он настроен для аутентификации пользователей в области Kerberos (EXAMPLE.ORG). В файле krb5.conf есть только одна область, и это область по умолчанию.

[libdefaults]
    default_realm = EXAMPLE.ORG

PAM настроен на использование модуля pam_krb5, поэтому, если учетная запись пользователя создается на локальном компьютере и это имя пользователя совпадает с учетными данными username@EXAMPLE.ORG, этот пользователь может войти в систему, указав свой пароль Kerberos.

Вместо этого я хотел бы создать локальную учетную запись пользователя с разные имя пользователя, но всегда пусть он аутентифицируется по каноническому имени на сервере Kerberos.

Например, принципал Kerberos full.name@EXAMPLE.ORG. Я хочу создать локальную учетную запись preferred.name и как-то настроить керберос так, чтобы при попытке войти в систему как preferred.name, он использует основной full.name@EXAMPLE.ORG.

Я пробовал использовать auth_to_local_names в krb5.conf, но, похоже, это не помогает.

[realms]
    EXAMPLE.ORG = {
            auth_to_local_names = {
                    full.name = preferred.name
            }

Я пробовал добавить full.name@EXAMPLE.ORG на ~ предпочтительное.имя / .k5login.

Во всех случаях, когда я пытаюсь войти в систему под именем предпочтительного.name@host и вводить пароль для full.name, я получаю отказ в доступе.

Я даже пробовал использовать auth_to_local в krb5.conf, но я не смог правильно понять синтаксис.

Возможно ли иметь (отдельное) локальное имя пользователя, которое для всех целей ведет себя точно так же, как соответствующее имя пользователя? Если да, то как это делается?