UNIX/MSAD LDAP/Kerberos 身份验证可以在不匹配用户名的情况下进行吗?

UNIX/MSAD LDAP/Kerberos 身份验证可以在不匹配用户名的情况下进行吗?

看起来 UNIX 客户端和 MSAD 中的用户名必须匹配,才能使 Kerberos 身份验证正常运行(我认为 LDAP 身份验证也是如此)。情况确实如此吗?

我们的基础设施所有者习惯于在没有任何警告的情况下更改 samaccountName - 在这种情况下实施这样的 UNIX/MASD Kerberos/LDAP 身份验证就变成了一场噩梦。

我们是否可以改变用户映射模块来引用不同的 AD 属性(不会改变)?

答案1

Unix 用户可以在 中列出他们的(可能是多个) Kerberos 主体$HOME/.k5login

相关内容