今天的情况:我们已经在多个Ubuntu客户端上获得了sssd-config的function。 该configuration包含对LDAP服务器的authentication。 SASL-Mech被指定为“gssapi”并使用krb5-keytab文件。 Bombastic feauture:keytab文件的指定用户每90天过期一次。 不是那么糟糕,但是replace客户端上的keytab文件需要很长时间,而且额外的风险更大。
明天的情况将是:如果可能的话,我们希望使用用于login的凭证,因为LDAP不是匿名可读的,并且每个域用户都将具有读访问权限。 其实,我没有想法把活动的login凭证放在sssd上来检查对LDAP的身份validation。 任何援助将不胜感激!
在要求不使用这个用户之前:我们处于一个复杂的networking,这个networking不是由我们自己pipe理的,我们只允许使用这些用户。
您可以将ldap_default_bind_dn与ldap_default_authtok_type = password一起使用,然后将login凭据放入ldap_default_authtok。