我有一个系统,目前使用LDAP / AD服务器通过pam和pam_ldap模块进行身份validation。 为了使用此服务器进行身份validation,pam_ldap需要一个将LDAP上的数据公开给我的帐户。 帐户数据通常通过configuration的binddn和bindpw字段填充。 据我所知,pam模块使用binddn和bindpwlogin,然后为用户执行search,然后绑定每个能够login的用户。
LDAP / AD服务器的pipe理员希望我使用加载到我的系统上的Kerberos密钥表,而不是提供binddn和bindpw。 所以我的问题是:
我怎样才能configuration帕姆这种情况?
我能够获得ldapsearch命令与kerberos证书一起使用,但是pam_ldap 文档声明初始绑定仅支持简单的身份validation。 这意味着服务器需要提供binddn和bindpw(他们想要停止使用),或者允许匿名绑定,这是他们绝对不想允许的。
我发现这个页面包含一个标题为“为LDAP绑定configurationKerberos身份validation”的部分,这听起来正是我想要做的,但我一直无法弄清楚如何将其应用于我的情况。 任何帮助,方向或commiserating将不胜感激。
这是我可以find我的问题已经在这里最接近的事情: 链接 。
你需要pam_kgb5模块来实现这种authentication( 有很多关于如何设置的说明 )
在客户端上未使用Kerberos身份validationLDAP时。