debian – Kerberos,.k5login和sudo

背景：我使用的是Debian 7系统,我使用libnss-ldap,libpam-krb5和nscd与LDAP Kerberos系统集成.我修改了sudoers以允许LDAP组权限sudo并获得超级用户权限.因此,我可以作为LDAP组登录来管理机器.这一切都运行正常,ssh登录适用于LDAP用户.

我只是在我的用户帐户Cosmic Ossifrage的主目录中试验.k5login文件.在文件中,我列出了：

cosmic_ossifrage@REALM.COM

这是一个有效的Kerberos标识. SSH登录,因为此用户继续正确使用.k5login文件.

但是,使用我的主目录中的.k5login文件,我无法再使用sudo -i获得超级用户权限.这似乎没有任何意义,因为.k5login在我的主目录中,而不是root目录,所以在我看来,root用户和sudo命令都不应该被限制在sudoers文件中. .

但是,使用上面的.k5login文件,sudo -i和sudo su都没有工作,而他们以前也没有.删除.k5login文件后,此功能已恢复,我可以再次sudo.

在日志文件/var/log/auth.log中,此时报告的许多错误消息中有一个来自sudo,说明：

[pam:sudo] krb5_kuserok failed for user cosmic_ossifrage

我是否错过了.k5login应该做什么的基本定义？这是预期的行为,如果是,为什么？