Клиент Apple не может войти в систему с серверной частью LDAP и GSSAPI или PLAIN

У меня есть сервер OpenLDAP с Kerberos5 для аутентификации, и в средах Linux/Unix/Windows я могу без проблем войти в систему. Сервер LDAP настроен на использование GSSAPI или PLAIN, который передает через SASL2 пароль в PAM, который аутентифицируется с помощью KERBEROS. Это связано с тем, что некоторые серверные программы еще не поддерживают GSSAPI напрямую. В macOS (последняя версия Monterey) я могу получить идентификатор пользователей и выполнить ldapsearch (GSSAPI) на сервер LDAP. В ssh я включил вход в систему GSSAPI с очисткой учетных данных, и для аутентификации PAM установлено значение yes.

Кажется, что базовый Unix (вариант BSD) отлично работает с LDAP, но наложение macOS делает что-то забавное.

Я отключил все другие методы аутентификации, кроме GSSAPI и PLAIN, с помощью:

/usr/libexec/PlistBuddy -c "добавить ':параметры модуля:ldap:Отклоненные методы SASL:' строка <ИМЯ_МЕТОДА>" /Library/Preferences/OpenDirectory/Configurations/LDAPv3/<servername>.plist

Я узнал это обсуждение не решил мою проблему.

Похоже, что клиент Apple LDAP для LOGIN пытается получить билет Kerberos5 с информацией о пользователе ldap, а не только с информацией о пользователе (LOG):

CLIENT_NOT_FOUND: uid=foobar,ou=People,dc=foobarbar,[email protected] для krbtgt/[email protected], клиент не найден в базе данных Kerberos

Любые советы будут высоко оценены!

Причина отсутствия подключения к OpenLDAP - Apple следующая:

В утилите каталога пользователь для аутентификации на сервере LDAP должен быть таким же, как определено в корневой DSE конфигурации серверов OpenLDAP — cn=config с:

olcAuthzRegexp = {0}uid=([^,]*),cn=[^,]*,cn=auth uid=$1,ou=Users,dc=foo-bar,dc=com
И
olcAuthzRegexp = {1}uid=<user_from_directory_utility>,cn=[^,]*,cn=auth cn=admin,dc=foo-bar,dc=com

Также olcSaslSecProps должно быть: не анонимный, не простой, не активный