我的组织389 Directory Server LDAP到目前为止一直在使用 来管理身份验证。我被要求Kerberos为此目的切换,但我仍然想保留LDAP与身份验证无关的数据。
我的问题在于播种现有用户。
据我了解,LDAP保留散列密码,但Kerberos生成一个钥匙基于创建用户时的纯文本密码。有没有办法改用哈希密码?我知道在 中是可行的LDAP。
一位朋友遇到了类似的问题,他的解决方案是在每次身份验证尝试时捕获用户/纯文本密码请求,并使用该信息在他的Kerberos数据库中播种几个月(以获取所有“活跃”用户),但这会带来一些安全风险。
另一种选择是向所有用户发送大量电子邮件,强迫他们重置密码,但我宁愿避免这样做。
有没有更好的办法?
答案1
这应该会给你指明正确的方向:
你可以稍微修改一下pam-krb5,这样pam_sm_authenticate实际上就会调用pam_sm_chauthtok并返回PAM_IGNORE。这样 pam_krb5 就会更改密码而不是进行身份验证。