私の組織はこれまで389 Directory Server
LDAP
を使用して認証を管理していました。そのためにKerberos
に切り替える必要がありましたが、認証に関連しないデータ用にLDAP
を保持したいと思います。
私の問題は、既存のユーザーのシードにあります。
私が理解しているように、LDAP
はハッシュされたパスワードを保持しますが、Kerberos
は、ユーザーの作成時にプレーンテキストのパスワードに基づいてkeyを生成します。代わりにハッシュされたパスワードを使用する方法はありますか? LDAP
で可能だと思います。
友人が同様の問題に遭遇し、彼の解決策は、認証の試行ごとにユーザー/プレーンテキストのパスワード要求をキャプチャし、その情報を使用して数か月間彼のKerberos
データベースをシードすることでした(すべての「アクティブ」を取得するため)ユーザー)しかし、それはいくつかのセキュリティリスクをもたらします。
もう1つのオプションは、すべてのユーザーに大量の電子メールを送信して、パスワードのリセットを強制することですが、私はそれを避けたいと思います。
より良い方法はありますか?
これはあなたを正しい方向に向けるはずです:
pam-krb5 を少し変更して、pam_sm_authenticate
が実際にpam_sm_chauthtok
を呼び出し、PAM_IGNORE
を返すようにすることができます。このようにして、pam_krb5は認証する代わりにパスワードを変更します。