当配置 MIT Kerberos 以使用 LDAP 数据库而不是 DB2 时,我惊讶地发现用户密码哈希存储在两个不同的字段中:userPassword 和 krbPrincipalKey。似乎哈希算法可能不同,但这似乎也没有必要。为什么不合并以避免同步问题呢?
答案1
OpenLDAP 无法直接处理krbPrincipalKey身份验证数据。我不太了解 FreeIPA 如何处理密码,但对于其他 OpenLDAP/Kerberos 安装,OpenLDAP 通常会被指示使用SASL 直通身份验证。