当前情况:我们在多个 Ubuntu 客户端上有一个可运行的 sssd 配置。此配置包含针对 LDAP 服务器的身份验证。SASL-Mech 是“gssapi”指定的,并使用 krb5 密钥表文件。夸张的功能:密钥表文件的指定用户每 90 天过期一次。还不算太糟,但在客户端上替换密钥表文件需要很长时间,而且额外的替换风险更大。
明天的情况是:如果可能的话,我们希望使用用于登录的凭据,因为 LDAP 不是匿名可读的,每个域用户都有读取权限。实际上,我不知道如何将活动的登录凭据放入 sssd 以检查针对 LDAP 的身份验证。任何帮助都将不胜感激!
在要求不使该用户过期之前:我们处于一些复杂的网络中,该网络不由我们自己管理,并且我们只被允许使用这些用户。
答案1
您可以ldap_default_bind_dn与一起使用ldap_default_authtok_type=password,然后将登录凭据放入ldap_default_authtok。