Ответы:
Я хотел бы изучить использование pam-krb5 .
На Debian и Ubuntu так и должно быть apt-get install libpam-krb5.
Конфигурация PAM будет выглядеть примерно так:
auth required pam_unix.so
auth optional pam_krb5.so try_first_pass
или
auth required pam_unix.so
auth optional pam_krb5.so use_first_pass
в /etc/pam.d/common-auth.
Он берет пароль, который вы использовали для локальной аутентификации, например, пароль /etc/shadow, и затем пытается использовать тот же пароль , что и ваш пароль Kerberos.
Если ваш пароль Kerberos совпадает с системным паролем, вам не нужно вводить его снова.
Если ваш пароль Kerberos отличается от вашего системного пароля, то, что произойдет, зависит от того, использовали ли вы try_first_passили use_first_pass:
try_first_pass спросит у вас пароль Kerberosuse_first_passне буду спрашивать вас, но вам придется бежать kinitпозжеОбратите внимание, что это, вероятно, делает ksshaskpass избыточным, потому что вы также можете иметь:
auth required pam_unix.so
auth optional pam_ssh.so try_first_pass
auth optional pam_krb5.so try_first_pass
В Debian и Ubuntu это требует установки libpam-ssh .
try_first_passили никакой вариант не должен работать в этом случае.
gertпротив gertvdijk.
Обычно Kerberos будет интегрирован с PAM pam_krb5.so. Он попытается получить билет Kerberos на основе вашего имени пользователя и пароля, который вы указали. Он также может использовать это, чтобы проверить, разрешено ли вам входить в систему, но это может быть установлено, чтобы игнорировать, если вы просто хотите билет. Он должен быть добавлен как модуль аутентификации и сеанс, возможно, также и пароль, если вы планируете синхронизировать пароль Kerberos с вашим рабочим столом. Если вы планируете использовать Kerberos для проверки имени пользователя, вам также следует настроить файл keytab по адресу /etc/krb5.keytab с ключом для host/hostname.example.com@EXAMPLE.COM, чтобы заменить hostname и example.com в соответствии с ваше окружение.