%20%E5%92%8C%20pam%20%E4%BD%BF%E7%94%A8%20kerberos%20%E8%80%8C%E4%B8%8D%E6%98%AF%20bindpw%20%E6%88%96%E5%8C%BF%E5%90%8D%E8%AE%BF%E9%97%AE.png)
我有一个系统,目前使用 LDAP/AD 服务器通过 pam 和 pam_ldap 模块进行身份验证。为了使用此服务器进行身份验证,pam_ldap 需要一个向我公开 LDAP 数据的帐户。帐户数据通常通过配置的 binddn 和 bindpw 字段填写。据我了解,pam 模块使用 binddn 和 bindpw 登录,然后搜索用户,然后绑定每个能够登录的用户。
LDAP/AD 服务器的管理员希望我使用加载到系统上的 kerberos keytab,而不是提供 binddn 和 bindpw。所以我的问题是:
针对这种情况我该如何配置 pam?
我能够ldapsearch使用 kerberos 凭据获取命令,但 pam_ldap文档指出初始绑定仅支持简单身份验证。这意味着服务器需要提供 binddn 和 bindpw(它们希望停止使用)或允许匿名绑定,而它们肯定不希望允许匿名绑定。
我找到了这个页其中包含一个名为“为 LDAP 绑定配置 Kerberos 身份验证”的部分,这听起来正是我想要做的,但我还不知道如何将其应用于我的情况。任何帮助、指导或同情都将不胜感激。
这是我在这里能找到的最接近我的问题的东西:关联。
答案1
你需要pam_kgb5用于实现此类身份验证的模块(有很多关于如何设置的说明)
当客户端上不使用 Kerberos 身份验证 LDAP 时。