我目前正在构建一个系统,我想在其中部署 Kerberos。但是,我对用户管理的外部限制不允许我使用 Kerberos 本身对用户进行身份验证。我必须使用第三方 LDAP 服务器对用户进行身份验证,但我无法从中读取密码。
但是,无论身份验证是否成功,我都会得到答案。如果此身份验证成功,我现在想自动向这些用户授予其主体的 Kerberos 票证。有没有办法设置 Kerberos 通过 SASL 对传递给它的密码进行第三方身份验证?
我可能想到的一个解决方案是在用户主目录中创建 keytab 文件,init 脚本会自动使用这些文件来获取 Kerberos 票证。但是我发现这些 keytab 文件可能会被滥用,因此我更倾向于使用基于密码的替代方案。
答案1
您想要做的是将票证授予服务器和身份验证服务器分开。理论上是可行的,但似乎没有实现。这个问题已经在这里得到解答:
应该可以进行 Kerberos 跨领域身份验证。也许这可以帮到你!?