web-dev-qa-db-ja.com

Seed Kerberosと既存のLDAPユーザー

私の組織はこれまで389 Directory ServerLDAPを使用して認証を管理していました。そのためにKerberosに切り替える必要がありましたが、認証に関連しないデータ用にLDAPを保持したいと思います。

私の問題は、既存のユーザーのシードにあります。

私が理解しているように、LDAPはハッシュされたパスワードを保持しますが、Kerberosは、ユーザーの作成時にプレーンテキストのパスワードに基づいてkeyを生成します。代わりにハッシュされたパスワードを使用する方法はありますか? LDAPで可能だと思います。

友人が同様の問題に遭遇し、彼の解決策は、認証の試行ごとにユーザー/プレーンテキストのパスワード要求をキャプチャし、その情報を使用して数か月間彼のKerberosデータベースをシードすることでした(すべての「アクティブ」を取得するため)ユーザー)しかし、それはいくつかのセキュリティリスクをもたらします。

もう1つのオプションは、すべてのユーザーに大量の電子メールを送信して、パスワードのリセットを強制することですが、私はそれを避けたいと思います。

より良い方法はありますか?

1
IGP

これはあなたを正しい方向に向けるはずです:

pam-krb5 を少し変更して、pam_sm_authenticateが実際にpam_sm_chauthtokを呼び出し、PAM_IGNOREを返すようにすることができます。このようにして、pam_krb5は認証する代わりにパスワードを変更します。

1