tstm's questions

我有两个可以验证的 Kerberos 领域。其中一个我可以控制，另一个在我看来是外部的。我在 LDAP 中也有一个内部用户数据库。假设领域是 INTERNAL.COM 和 EXTERNAL.COM。在 ldap 我有这样的用户条目：

1054 uid=testuser,ou=People,dc=tml,dc=hut,dc=fi
shadowFlag: 0
shadowMin: -1
loginShell: /bin/bash
shadowInactive: -1
displayName: User Test
objectClass: top
objectClass: account
objectClass: posixAccount
objectClass: shadowAccount
objectClass: person
objectClass: organizationalPerson
objectClass: inetOrgPerson
uidNumber: 1059
shadowWarning: 14
uid: testuser
shadowMax: 99999
gidNumber: 1024
gecos: User Test
sn: Test
homeDirectory: /home/testuser
mail: [email protected]
givenName: User
shadowLastChange: 15504
shadowExpire: 15522
cn: User.Test
userPassword: {SASL}[email protected]

我想做的，不知何故，是指定每个用户的基础，用户是根据哪个身份验证服务器/领域进行身份验证的。配置 kerberos 以处理多个领域很容易。

但是我如何配置其他实例（如 PAM）来处理一些用户来自 INTERNAL.COM 而另一些来自 EXTERNAL.COM 的事实？需要进行某种 LDAP 查找，从中获取领域和身份验证名称，然后是实际的身份验证本身。

是否有一种标准化的方法可以将此信息添加到 LDAP 或进行查找？对于多领域用户群，是否还有其他解决方法？我也可以使用单一领域解决方案，只要我可以分别为用户指定用户名 - 领域 - 组合。

我有一个连接到快速网络的 VMWare ESXi 主机。主机运行两个虚拟机：

1. 网关
2. 客户

网关有两个网络接口，一个桥接到外部网络 (vSwitch0)，另一个桥接到服务器的内部网络 (vSwitch1)。它安装了firehol，并且正在为内部客户端机器进行 NAT 和端口转发。

客户端机器有一个内部 IP 并通过网关连接到互联网。一切正常，但从客户端到互联网的传输速度非常慢，不到 30kB/s。从网关到互联网的传输速度很快（100Mbit），从互联网到客户端的流量也是如此。我尝试进行网络转储以查看问题可能出在哪里，但没有找到任何东西。一切看起来就像线路很慢。

此外，两个虚拟机之间的传输速度几乎是一个完整的千兆位。所以这也不是问题。两台机器都运行 Debian Lenny，没有进行特殊修改。我正在为 VMXNET 半虚拟化网络使用 open-vm-tools。

我有一个运行良好的设置，使用 OpenLDAP 获取用户信息并使用 Kerberos 进行身份验证，但我们也需要集成 Windows，为此我们决定迁移到 Active Directory 可能是一个好主意。从 OpenLDAP 移动帐户信息非常简单且容易完成，但我有一个问题：如何将密码/身份验证信息从 MIT Kerberos 移动到 AD？

我知道他们之间可以进行某种委托，但这不能解决我的问题吗？或者我可以对 MIT Kerberos KDC 进行 AD 身份验证吗？密码存储在 Kerberos 的散列中，所以我不能以明文形式移动它们。我想知道哈希值在 MIT 和 AD 之间是否兼容，因为我也可以以加密形式将密码输入 AD。

有没有人有这方面的经验？除了要求我的所有用户更改密码并且在所有身份验证从一个地方切换到另一个地方而没有任何共存时遇到一个主要麻烦之外，您还有什么建议。