是否可以在 *nix 环境中设置 Kerberos,以便针对 AD 以外的 LDAP 存储进行身份验证,但仍信任 AD 域?用例是我们正在使用 AD,*nix 没有 Kerberos,我们不想在 AD 中注册 *nix 主机和服务,但允许通过 AD 身份验证的用户登录到 *nix 本地的主机和服务。有一个单独的 LDAP 存储,其中注册的所有用户都在 AD 中,此外还有一些不在 AD 中的用户,密码已同步,但我们不想触及 AD 基础设施。
谢谢。
答案1
历史上,用户一直保存在两个位置。人类用户存在于 AD 中,并同步(包括密码)到另一个 LDAP 存储。该存储还具有非人类 ID 以及未同步回 AD 的非员工人类 ID。因此,我希望如果您通过 AD 进行身份验证,我将允许您无缝登录到您的 Linux 主机,但 AD 不知道这些 Linux 主机或服务。