使用 PAM 在 ssh 登錄時初始化 Kerberos 票證

是的，所以我在 Centos7 中的 PAM 上有點掙扎。

我不知道如何手動配置它並使更改永久化，以便在成功 ssh 登錄後獲得 kerberos 票證。

如您所見，主要的身份驗證方法是 winbind，我希望它保持這種狀態。

到目前為止，我的 /etc/pam.d/system-auth 是使用 authconfig 自動生成的：

auth        required      pam_env.so
auth        sufficient    pam_unix.so nullok try_first_pass
auth        requisite     pam_succeed_if.so uid >= 1000 quiet_success
auth        sufficient    pam_winbind.so use_first_pass
auth        required      pam_deny.so

在早期版本中，我會添加：

auth optional       pam_krb5.so       try_first_pass

知道如何在 Centos7 中執行此操作嗎？我不想使用 kerberos 進行身份驗證，因為它可能會在密碼更改時搞砸一切。

畢竟我最終使用了 authconfig，這意味著我必須準備一個完整的 kerberized 環境。

authconfig --enablewinbindkrb5 --update

對於計劃使用它的其他人，請注意，此命令會更新 PAM 堆棧，我相信它會使 /etc/security/pam_winbind.conf 中的配置無效，並且還會修改 /etc/samba/smb.conf。

為了正確使用它，機器必須具有有效的 krb5.conf、屬於域並具有有效的系統密鑰表。

然後在每次成功的 ssh 登錄時都會創建一個 krbtgt 密鑰，它允許生成票證並用於身份驗證。這意味著如果 ssh 具有正確的 kerberized 設置，則 ssh 不會要求輸入密碼來登錄下一個伺服器。

設置krb5_auth = yes在/etc/security/pam_winbind.conf. 此文件應該不受authconfig.

您可以auth sufficient pam_winbind.so use_first_pass krb5_auth在 pam 中使用，但這可能會被authconfig.

引用自：https://serverfault.com/questions/771643