Linux

使用 PAM 在 ssh 登錄時初始化 Kerberos 票證

  • April 22, 2016

是的,所以我在 Centos7 中的 PAM 上有點掙扎。

我不知道如何手動配置它並使更改永久化,以便在成功 ssh 登錄後獲得 kerberos 票證。

如您所見,主要的身份驗證方法是 winbind,我希望它保持這種狀態。

到目前為止,我的 /etc/pam.d/system-auth 是使用 authconfig 自動生成的:

auth        required      pam_env.so
auth        sufficient    pam_unix.so nullok try_first_pass
auth        requisite     pam_succeed_if.so uid >= 1000 quiet_success
auth        sufficient    pam_winbind.so use_first_pass
auth        required      pam_deny.so

在早期版本中,我會添加:

auth optional       pam_krb5.so       try_first_pass

知道如何在 Centos7 中執行此操作嗎?我不想使用 kerberos 進行身份驗證,因為它可能會在密碼更改時搞砸一切。

畢竟我最終使用了 authconfig,這意味著我必須準備一個完整的 kerberized 環境。

authconfig --enablewinbindkrb5 --update

對於計劃使用它的其他人,請注意,此命令會更新 PAM 堆棧,我相信它會使 /etc/security/pam_winbind.conf 中的配置無效,並且還會修改 /etc/samba/smb.conf。

為了正確使用它,機器必須具有有效的 krb5.conf、屬於域並具有有效的系統密鑰表。

然後在每次成功的 ssh 登錄時都會創建一個 krbtgt 密鑰,它允許生成票證並用於身份驗證。這意味著如果 ssh 具有正確的 kerberized 設置,則 ssh 不會要求輸入密碼來登錄下一個伺服器。

設置krb5_auth = yes/etc/security/pam_winbind.conf. 此文件應該不受authconfig.

您可以auth sufficient pam_winbind.so use_first_pass krb5_auth在 pam 中使用,但這可能會被authconfig.

引用自:https://serverfault.com/questions/771643