Eu configurei com sucesso um servidor Debian kerberos (MIT) / OpenLDAP que pode autenticar usuários com kerberos e obter acesso SSH de acordo com grupos OpenLDAP. Devo mencionar que como este é um protótipo, a pilha do kerberos (kerberos e OpenLDAP) está no mesmo servidor da pilha de serviços (OpenSSH).
Para permitir a resolução do grupo OpenLDAP, instalei e configurei o nscd. Ele deve agir como um proxy de cache, mas não consigo fazer essa resolução acontecer quando ela é interrompida.
Quando eu autentico com uma chave pública (sem interação com o kerberos aqui) e inicio sudo , um ticket do kerberos é criado para esse usuário.
Eu não tenho idéia do porque esse ticket é criado, eu sei que é uma consequência do lançamento bem-sucedido do comando sudo.
Como o OpenLDAP autentica-se contra o kerberos, instalei o k5start para permitir a renegociação automática das chaves do kerberos. Talvez isso teria um impacto? O usuário do OpenLDAP é, no entanto, root, não meu usuário sudoer. Aqui está a linha de comando para o k5start
/usr/bin/k5start -U -f /etc/krb5.keytab -K 10 -l 24h