Tenho dados ldap adicionais que gostaria de armazenar na página inicial do usuário quando ele fizer login pela primeira vez em um cliente usando o pam_ldap. No entanto, não consigo pensar em uma maneira de fazer isso funcionar sem solicitar que o usuário digite novamente sua senha ldap após fazer login.
Pensei em usar pam_exec, mas não sei como o cliente se autenticaria no LDAP pam_execsem antes saber a senha LDAP do usuário.
Existem outras soluções possíveis? Entendo que o Kerberos provavelmente é mais adequado para isso, mas tudo que li sobre sua complexidade me fez evitá-lo como uma praga.