是否可以在 pam_ldap 驗證期間從 LDAP 提取附加資訊？

當使用者首次使用pam_ldap.但是，我似乎想不出一種方法可以在不提示用戶登入後重新輸入其 ldap 密碼的情況下完成這項工作。

我曾想過使用pam_exec，但我不知道客戶端如何pam_exec在不先知道使用者的 LDAP 密碼的情況下對 LDAP 進行身份驗證。

還有其他可能的解決方案嗎？我知道 kerberos 可能更適合於此，但我讀到的有關其複雜性的所有內容都讓我像躲避瘟疫一樣避免它。