Instalei o Kerberos na máquina Debian que hospeda um aplicativo interno, para poder usá-lo para autenticar usuários em nosso AD.
Isso funciona.
No entanto, o Kerberos parece se sentir responsável por gerenciar as contas de usuário do Linux nessa máquina e também diz ao administrador para inserir a "Senha do Kerberos Atual" quando ele tentar alterar a senha de um usuário.
Como não preciso nem quero que os usuários do Linux sejam gerenciados pelo Kerberos, existe uma maneira de configurar o Kerberos dessa maneira, que só atua quando perguntado pelo Apache?
Sei que existem algumas configurações em /etc/pam.d/ , mas não tenho certeza de quais alterações seriam salvas.
Sua configuração de pam para o passwd geralmente /etc/pam.d/chpasswd está fazendo uma chamada para pam_krb5.so diretamente ou como parte de uma instrução de inclusão.
O Kerberos (GSSAPI / SPNEGO) para SSO HTTP é tratado fora do pam, tornando a solução mais conveniente para removê-lo inteiramente da configuração do seu pam (usando um método semelhante ao que foi colocado).