Ingo's questions

我kinit在 Debian Buster 上测试了一个有效的 Kerberos 身份验证。现在我尝试将它与PAM 一起使用以使用 Kerberos 登录，并libpam-krb5使用pam-auth-update. 但文件中/usr/share/doc/libpam-krb5/README.Debian.gz指出：

此配置仍需要在 /etc/shadow 中列出用户，否则 pam_unix 帐户模块将失败。通常，应该只使用 Kerberos 身份验证的帐户应该使用 adduser --disabled-password 创建。如果您根本不希望帐户列在 /etc/shadow 中（例如，如果您使用其他源而不是文件来进行 nsswitch 配置），您可以将 pam_krb5 帐户模块标记为足够，而不是必需，以便不运行 pam_unix。这意味着您将无法在本地禁用帐户。

/etc/shadow除了 Kerberos 数据库之外，我不希望这些帐户再次在本地列出，因为这对我来说是多余的工作。我尝试使用默认设置登录，但失败了：

Debian GNU/Linux 10 deb10-base ttyS0

deb10-base login: ingo
Password: 

Authentication failure

在journalctl我发现这个：

Oct 06 15:33:08 deb10-base login[374]: pam_krb5(login:auth): user ingo authenticated as ingo@EXAMPLE.COM
Oct 06 15:33:08 deb10-base login[374]: pam_unix(login:account): could not identify user (from getpwnam(ingo))
Oct 06 15:33:08 deb10-base login[374]: Authentication failure

这正是上面引用的文档所预期的。但我不明白修改 PAM 配置文件的位置和内容的评论。当前配置文件与文档不匹配。

我必须从需要修改到足够的 PAM 配置文件中的哪些条目？可能还有其他事情要做吗？如果可能的话，我想保留 pam-auth-update 配置部分。

更新：
忘了提到我开始pam-auth-update并检查了选项：

[*] Kerberos authentication
[*] Unix authentication
[*] Create home directory on login

我试图取消选中“ Unix authentication ”，但这使得登录无法使用。我无法再次登录，即使不是以 root 身份登录。我不得不从快照中恢复。

我想使用 DNS 查找设置我的 Kerberos 身份验证来定义其服务器。这可以通过 DNS 数据库中的 URI 记录来完成。给出了一个KDC Discovery的示例，如下所示：

_kerberos.EXAMPLE.COM  URI  10 1 krb5srv:m:tcp:kdc1.example.com

现在我尝试将此记录添加到 DNS 数据库nsupdate：

~$ sudo nsupdate
> update add _kerberos.EXAMPLE.COM  URI  10 1 krb5srv:m:tcp:kdc1.example.com
ttl 'URI': not a valid number
>

这种方式行不通。添加 URI 记录的命令是什么？是否有另一种方法可以将记录添加到 DNS 数据库？

在 Debian Buster 安装中，我刚刚安装了 OpenLDAP 服务器slapd：

~$ sudo apt install slapd ldap-utils
~$ sudo dpkg-reconfigure slapd

在使用默认选项进行设置时，系统提示我提供组织名称。我用家，所以我得到

~$ ldapsearch -x -LLL -b dc=hoeft-online,dc=de
dn: dc=hoeft-online,dc=de
objectClass: top
objectClass: dcObject
objectClass: organization
o: home
dc: hoeft-online

dn: cn=admin,dc=hoeft-online,dc=de
objectClass: simpleSecurityObject
objectClass: organizationalRole
cn: admin
description: LDAP administrator

现在我尝试将组织单位 ( ou ) 添加到组织o: home中，如输出所示，但没有成功：

~$ cat add.ldif
dn: ou=posix,o=home,dc=hoeft-online,dc=de
objectClass: organizationalUnit
ou: posix

~$ ldapadd -xWD cn=admin,dc=hoeft-online,dc=de -f add.ldif
Enter LDAP Password:
adding new entry "ou=posix,o=home,dc=hoeft-online,dc=de"
ldap_add: No such object (32)
        matched DN: dc=hoeft-online,dc=de

向domainComponent ( dc )添加ou可以：

~$ cat add.ldif
dn: ou=posix,dc=hoeft-online,dc=de
objectClass: organizationalUnit
ou: posix

~$ ldapadd -xWD cn=admin,dc=hoeft-online,dc=de -f add.ldif
Enter LDAP Password:
adding new entry "ou=posix,dc=hoeft-online,dc=de"

我在这里缺少什么？是否可以将组织单元（ou）添加到组织（o）？如果不是，为什么？它在哪里定义？

编辑：我发现这是Why ARP Response only when network adapter in promiscuous mode 的副本？.

我使用带有 Rasbian Stretch 的 Raspberry Pi 3B+，并按照 Debian 的教程使用代理 arp 进行设置：使用代理 ARP 桥接网络连接以“桥接”eth0 到 wlan0。根据这个很容易设置代理arp：

rpi3 ~# echo 1 > /proc/sys/net/ipv4/conf/all/proxy_arp
rpi3 ~# echo 1 > /proc/sys/net/ipv4/ip_forward
rpi3 ~# ip route add 192.168.10.60/32 dev eth0

192.168.10.60是应该“桥接”到 wlan0 的 eth0 上的客户端。

但它不起作用。我必须在 wlan0 上启用混杂模式才能使其工作，但找不到任何提示来执行此操作。

rpi3 ~# ip link set wlan0 promisc on

是否需要混杂模式Stretch？如果没有，我该如何避免呢？

更新：
检查rp_filter设置为0。
hostapd未安装。wlan0处于客户端模式并由 管理wpa_supplicant。