Seed Kerberosと既存のLDAPユーザー

私の組織はこれまで389 Directory ServerLDAPを使用して認証を管理していました。そのためにKerberosに切り替える必要がありましたが、認証に関連しないデータ用にLDAPを保持したいと思います。

私の問題は、既存のユーザーのシードにあります。

私が理解しているように、LDAPはハッシュされたパスワードを保持しますが、Kerberosは、ユーザーの作成時にプレーンテキストのパスワードに基づいてkeyを生成します。代わりにハッシュされたパスワードを使用する方法はありますか？ LDAPで可能だと思います。

友人が同様の問題に遭遇し、彼の解決策は、認証の試行ごとにユーザー/プレーンテキストのパスワード要求をキャプチャし、その情報を使用して数か月間彼のKerberosデータベースをシードすることでした（すべての「アクティブ」を取得するため）ユーザー）しかし、それはいくつかのセキュリティリスクをもたらします。

もう1つのオプションは、すべてのユーザーに大量の電子メールを送信して、パスワードのリセットを強制することですが、私はそれを避けたいと思います。

より良い方法はありますか？