Você precisa do módulo pam_kgb5 para implementar tal autenticação ( há muitas instruções sobre como configurá-lo )
Quando o LDAP de autenticação do Kerberos não é usado no cliente.
Eu tenho um sistema que atualmente usa um servidor LDAP / AD para autenticação via pam e o módulo pam_ldap. Para usar este servidor para autenticação, o pam_ldap requer uma conta que expõe os dados no LDAP para mim. Os dados da conta são normalmente preenchidos através dos campos binddn e bindpw da configuração. Pelo que entendi, o módulo pam efetua login com binddn e bindpw, em seguida, executa uma pesquisa pelo usuário e depois liga a cada usuário que pode efetuar login.
Os administradores do servidor LDAP / AD querem que eu use um keytab kerberos carregado em meu sistema em vez de fornecer um binddn e bindpw. Então minha pergunta é:
Como posso configurar o pam para esta situação?
Eu consigo usar os comandos ldapsearch
para trabalhar com credenciais do kerberos, mas a documentação Um> afirma que apenas a autenticação simples é suportada para a ligação inicial. Ou seja, o servidor precisaria fornecer o binddn e o bindpw (que eles querem parar de usar) ou permitir ligações anônimas, que eles definitivamente não querem permitir.
Eu encontrei esta página que contém uma seção intitulada "Configurar autenticação Kerberos para ligação LDAP" o que parece exatamente o que eu quero fazer, mas não consegui descobrir como aplicá-lo à minha situação. Qualquer ajuda, direção ou comiseração seria muito apreciada.
Esta é a coisa mais próxima que eu já encontrei para o meu problema aqui: link .
Você precisa do módulo pam_kgb5 para implementar tal autenticação ( há muitas instruções sobre como configurá-lo )
Quando o LDAP de autenticação do Kerberos não é usado no cliente.