Похоже, что существует твердое требование к именам пользователей на клиенте UNIX и в MSAD, чтобы они соответствовали аутентификации Kerberos для работы (я думаю, аутентификация LDAP тоже). Так ли это на самом деле?
Наши владельцы инфраструктуры имеют привычку изменять samaccountName без предупреждения - реализация аутентификации UNIX / MASD Kerberos / LDAP, подобная этой, в этой ситуации становится своего рода кошмаром.
Можно ли изменить модуль сопоставления пользователей, чтобы он ссылался на другой атрибут AD (который не меняется)?
Пользователи Unix могут перечислить свои (возможно, несколько) участников Kerberos в $HOME/.k5login.