我目前正在构build一个我想部署Kerberos的系统。 但是,我对用户pipe理的外部约束不允许我对Kerberos本身的用户进行身份validation。 我不得不authentication用户对第三方LDAP服务器,我不能从中读取密码。
但是,我确实得到了authentication是否成功的答案。 我现在想自动授予这些用户Kerberos票证为他们的委托人,如果这个authentication是成功的。 有什么办法可以设置Kerberos通过SASL对第三方进行身份validation传递给它的密码?
我可能看到的一个解决scheme是在用户主目录中创buildkeytab文件,这些文件被init脚本自动使用来获得Kerberos票据。 不过,我认为这些keytab文件可能会被滥用,并且会更喜欢使用基于密码的替代方法。
你想要做的是分离票证授予服务器和authentication服务器。 这在理论上是可能的,但似乎没有实施。 这个问题已经在这里回答了:
Kerberos:分离AS和TGS
Kerberos跨领域authentication应该是可能的。 也许这可以帮助你!