Інтеграція LDAP та Kerberos V для додавання користувачів через інтерфейс, схожий на useradd

Зараз я намагаюся створити інтегровану систему Kerberos V / LDAP для аутентифікації / авторизації. З того, що мені вдалося зібрати, є щонайменше два способи інтеграції Kerberos V з LDAP:

1. Використовуйте LDAP як бекенд, щоб зберігати принципи Kerberos
2. Аутентифікація користувача Kerberos та SASL через GSSAPI для аутентифікації на сервері LDAP (щоб мати можливість запитувати та змінювати записи LDAP за допомогою квитка Kerberos)

Два варіанти не є взаємовиключними. Справа в тому, що я хотів би зробити гібрид з двох: не просто використовувати LDAP для зберігання принципів Kerberos, але і переконайтесь, що коли я додаю головний Kerberos, він створюється objectClass=posixAccountдля того, щоб він відображався як запис користувача Unix до NSS з метою авторизації.

Перефразовуючи, я хотів би мати , щоб додати нові облікові записи користувачів в одному місці ( а саме , на kadminсервері) замість двох. Чи можливо це? Якщо так, то як?

Якщо це допоможе, я використовую OpenLDAP та MIT Kerberos на Debian Wheezy.

Оскільки ніхто не відповів на це запитання, і я не знайшов жодного рішення на це, я прокатував власне рішення в Perl. Рішення орієнтоване на Debian саме тому, що це моє цільове середовище. Сміливо роздвоюйте його та адаптуйте під свої потреби.

Ваші коментарі щодо стилю коду / кодування будуть дуже вдячні. Не соромтеся розривати його на клаптики: я не розробник за навчанням, і я відносно новий в розробці адміністративних інструментів.