是的,所以我在 Centos7 中的 PAM 上有点挣扎。
我不知道如何手动配置它并使更改永久化,以便在成功 ssh 登录后获得 kerberos 票证。
如您所见,主要的身份验证方法是 winbind,我希望它保持这种状态。
到目前为止,我的 /etc/pam.d/system-auth 是使用 authconfig 自动生成的:
auth required pam_env.so
auth sufficient pam_unix.so nullok try_first_pass
auth requisite pam_succeed_if.so uid >= 1000 quiet_success
auth sufficient pam_winbind.so use_first_pass
auth required pam_deny.so
在早期版本中,我会添加:
auth optional pam_krb5.so try_first_pass
知道如何在 Centos7 中执行此操作吗?我不想使用 kerberos 进行身份验证,因为它可能会在密码更改时搞砸一切。
设置
krb5_auth = yes在/etc/security/pam_winbind.conf. 此文件应该不受authconfig.您可以
auth sufficient pam_winbind.so use_first_pass krb5_auth在 pam 中使用,但这可能会被authconfig.毕竟我最终使用了 authconfig,这意味着我必须准备一个完整的 kerberized 环境。
对于计划使用它的其他人,请注意,此命令会更新 PAM 堆栈,我相信它会使 /etc/security/pam_winbind.conf 中的配置无效,并且还会修改 /etc/samba/smb.conf。
为了正确使用它,机器必须具有有效的 krb5.conf、属于域并具有有效的系统密钥表。
然后在每次成功的 ssh 登录时都会创建一个 krbtgt 密钥,它允许生成票证并用于身份验证。这意味着如果 ssh 具有正确的 kerberized 设置,则 ssh 不会要求输入密码来登录下一个服务器。