Linux
使用 PAM 在 ssh 登錄時初始化 Kerberos 票證
是的,所以我在 Centos7 中的 PAM 上有點掙扎。
我不知道如何手動配置它並使更改永久化,以便在成功 ssh 登錄後獲得 kerberos 票證。
如您所見,主要的身份驗證方法是 winbind,我希望它保持這種狀態。
到目前為止,我的 /etc/pam.d/system-auth 是使用 authconfig 自動生成的:
auth required pam_env.so auth sufficient pam_unix.so nullok try_first_pass auth requisite pam_succeed_if.so uid >= 1000 quiet_success auth sufficient pam_winbind.so use_first_pass auth required pam_deny.so
在早期版本中,我會添加:
auth optional pam_krb5.so try_first_pass
知道如何在 Centos7 中執行此操作嗎?我不想使用 kerberos 進行身份驗證,因為它可能會在密碼更改時搞砸一切。
畢竟我最終使用了 authconfig,這意味著我必須準備一個完整的 kerberized 環境。
authconfig --enablewinbindkrb5 --update
對於計劃使用它的其他人,請注意,此命令會更新 PAM 堆棧,我相信它會使 /etc/security/pam_winbind.conf 中的配置無效,並且還會修改 /etc/samba/smb.conf。
為了正確使用它,機器必須具有有效的 krb5.conf、屬於域並具有有效的系統密鑰表。
然後在每次成功的 ssh 登錄時都會創建一個 krbtgt 密鑰,它允許生成票證並用於身份驗證。這意味著如果 ssh 具有正確的 kerberized 設置,則 ssh 不會要求輸入密碼來登錄下一個伺服器。
設置
krb5_auth = yes
在/etc/security/pam_winbind.conf
. 此文件應該不受authconfig
.您可以
auth sufficient pam_winbind.so use_first_pass krb5_auth
在 pam 中使用,但這可能會被authconfig
.