Kerberos, .k5login и sudo

Фон: Я использую систему Debian 7, которую я интегрировал с системным использованием LDAP+Kerberos libnss-ldap, libpam-krb5 и nscd. Я изменил sudoers разрешать группе LDAP право на sudo и получите полномочия суперпользователя. Следовательно, я могу войти в систему как группа LDAP для управления машиной. Это все хорошо работает, и ssh войдите в систему работает хорошо с пользователем LDAP.

Я просто экспериментировал с a .k5login файл в корневом каталоге моей учетной записи пользователя, Cosmic Ossifrage. В файле я перечислил:

cosmic_ossifrage@REALM.COM

который является допустимыми идентификационными данными Kerberos. Логины SSH как этот пользователь продолжали работать правильно с .k5login зарегистрируйте на месте.

Однако с этим .k5login файл в моем корневом каталоге, я больше не смог использовать sudo -i получать полномочия суперпользователя. Это, кажется, не имеет смысла, так как .k5login находится в моем корневом каталоге, нет rootтак по моему мнению, ни один root пользователь, ни sudo управляйте, должен быть ограничен дальше, чем, что присутствует в sudoers файл.

Однако с .k5login файл как выше на месте, ни один sudo -i ни sudo su работали, тогда как они были прежде. Однажды .k5login файл был удален, эта функциональность была восстановлена, и я смог sudo снова.

В файле журнала /var/log/auth.log, среди многих сообщений об ошибках, о которых сообщают в это время, был один от sudo, указывая:

[pam:sudo] krb5_kuserok failed for user cosmic_ossifrage

Сделал я пропускаю что-то фундаментальное в определении какой a .k5login как предполагается, делает? Это - ожидаемое поведение, и если так, почему?