如何从 LDAP 目录确定 Kerberos 领域？

我认为最好的方法是使用sssd. 这为您提供了最大的灵活性，因为 sssd 支持它所谓的域。请注意，较新的发行版已经使用 sssd。这是梦想成真，没有理由使用 libpam_krb5.so 和 libpam_ldap.so 或其中任何一个。

最简单的方法是使用 ldap 过滤器来选择您需要为 tgts 进入哪个领域，如下所示：

首先创建两个包含外部和内部领域成员的安全组，以便能够访问正确的 kdc。

设置 sssd 并检查它的文档，这个片段是一个草图，你需要如何设置这两个域。

[domain/internal.com]
access_provider = ldap
id_provider = ldap
ldap_access_filter = memberOf=cn=allowedusersinternal,ou=Groups,dc=internal,dc=com
auth_provider = krb5 

[domain/external.com]
access_provider = ldap
ldap_access_filter = memberOf=cn=allowedusersexternal,ou=Groups,dc=internal,dc=com
id_provider = ldap
auth_provider = krb5

然后根据需要为这两个领域配置您的 kerberos（但您已经做到了）。

您正在寻找的设置在 /etc/krb5.conf 中，您可以在 [realms] 标签下存储多个领域，每个领域都指向自己的 LDAP 服务器。

[realms]
       INTERNAL.COM = {
               kdc = some.server.internal.com:88
               admin_server = some.server.internal.com:749
               default_domain = internal.com
       }
       EXTERNAL.COM = {
               kdc = some.server.external.com:88
               admin_server = some.server.external.com:749
               default_domain = external.com
       }  

pam_ldap
对于 ssh password/challenge-response LDAP example entry 已经足够了。
修改适当的文件/etc/pam.d以使用该pam_ldap库。在您的 OpenLDAP 服务器上
设置SASL 直通身份验证。
RHEL (CentOS): nss_ldap
Debian: libpam-ldap
Ubuntu:ldap-auth-client

krb5.conf
auth_to_local应该适用于基于 GSSAPI 的身份验证。

[realms]
$LOCALREALM = {
auth_to_local = RULE:[1:$1]
auth_to_local = DEFAULT
}
这可能过于宽松。

!pam_krb5 不应该像之前页面alt_auth_map中引用的那样工作manOpenSSH will reject usernames that don't match local accounts

针对不同域进行身份验证的 Windows 方法是除了登录名之外还指定域。那么，您可以做类似的事情并让人们以 [email protected] 或 [email protected] 登录吗？如果您只使用“user3”，您可以登录到默认域。

根据 pam_krb5(5)，这是可能的：

如果提供给 PAM 的用户名包含“@”，并且 Kerberos 可以将用户名视为主体，将其映射到本地帐户名，pam_authenticate() 会将 PAM 用户更改为该本地帐户名。这允许用户使用他们的 Kerberos 主体登录并让 Kerberos 映射到一个帐户。

不幸的是，它继续：

但是请注意，此工具不能与 OpenSSH 一起使用。在重新映射完成之前，OpenSSH 将拒绝与本地帐户不匹配的用户名，并将无效密码传递给 PAM 模块。另请注意，其他几个常见的 PAM 模块（例如 pam_securetty）希望能够使用 getpwnam() 查找用户，如果使用此功能，则不能在 pam_krb5 之前调用。