Достаточно простой вопрос; есть ли способ настроить свой ldap-сервер, чтобы он принимал только аутентификацию Kerberos и отклонял любой другой тип.
Я почти на 100% уверен, что это можно сделать, просто не знаю как - без сомнения, что-то в файле конфигурации.
Ура
Вы можете попробовать использовать опцию require в конфигурации или olcRequires для формата ldif.
Согласно документации, для требовать
Укажите требуемый набор условий (разделенных пробелом) (по умолчанию нет). Директива может быть указана глобально и / или для каждой базы данных; базы данных наследуют глобальные условия, поэтому спецификации для каждой базы данных являются аддитивными. связывать требует операции привязки перед операциями с каталогом. LDAPv3 требует, чтобы сеанс использовал LDAP версии 3. authc требует аутентификации перед операциями с каталогом. SASL требует аутентификации SASL перед операциями с каталогом. сильный требует строгой аутентификации перед операциями с каталогом. Ключевое слово strong позволяет защищенную «простую» аутентификацию, а также аутентификацию SASL. никто может использоваться, чтобы не требовать условий (полезно для очистки глобально установленных условий в конкретной базе данных); он должен быть первым в списке условий.
и для olcRequires
Укажите требуемый набор условий (по умолчанию нет). Директива может быть указана глобально и / или для каждой базы данных; базы данных наследуют глобальные условия, поэтому спецификации для каждой базы данных являются аддитивными. связывать требует операции привязки перед операциями с каталогом. LDAPv3 требует, чтобы сеанс использовал LDAP версии 3. authc требует аутентификации перед операциями с каталогом. SASL требует аутентификации SASL перед операциями с каталогом. сильный требует строгой аутентификации перед операциями с каталогом. Ключевое слово strong позволяет защищенную «простую» аутентификацию, а также аутентификацию SASL. никто может использоваться, чтобы не требовать условий (полезно для очистки глобально установленных условий в конкретной базе данных); он должен быть первым в списке условий.
SASL - это то, что вам здесь нужно, потому что Kerberos v5 реализует GSSAPI.
Кроме этого, я не смог бы сказать вам, потому что я не знаю никакой конфигурации, которая ограничивает тип аутентификации, разрешенный на сервере LDAP.