看起来 UNIX 客户端和 MSAD 中的用户名必须匹配,才能使 Kerberos 身份验证正常运行(我认为 LDAP 身份验证也是如此)。情况确实如此吗?
我们的基础设施所有者习惯于在没有任何警告的情况下更改 samaccountName - 在这种情况下实施这样的 UNIX/MASD Kerberos/LDAP 身份验证就变成了一场噩梦。
我们是否可以改变用户映射模块来引用不同的 AD 属性(不会改变)?
答案1
Unix 用户可以在 中列出他们的(可能是多个) Kerberos 主体$HOME/.k5login。