Я использую, ksshaskpass
чтобы добавить свои защищенные паролем ключи ssh-agent
при входе в KDE, есть ли что-то подобное для Kerberos?
Я хотел бы изучить использование pam-krb5 .
На Debian и Ubuntu так и должно быть apt-get install libpam-krb5
.
Конфигурация PAM будет выглядеть примерно так:
auth required pam_unix.so
auth optional pam_krb5.so try_first_pass
или
auth required pam_unix.so
auth optional pam_krb5.so use_first_pass
в /etc/pam.d/common-auth
.
Он берет пароль, который вы использовали для локальной аутентификации, например, пароль /etc/shadow
, и затем пытается использовать тот же пароль , что и ваш пароль Kerberos.
Если ваш пароль Kerberos совпадает с системным паролем, вам не нужно вводить его снова.
Если ваш пароль Kerberos отличается от вашего системного пароля, то, что произойдет, зависит от того, использовали ли вы try_first_pass
или use_first_pass
:
try_first_pass
спросит у вас пароль Kerberosuse_first_pass
не буду спрашивать вас, но вам придется бежать kinit
позжеОбратите внимание, что это, вероятно, делает ksshaskpass избыточным, потому что вы также можете иметь:
auth required pam_unix.so
auth optional pam_ssh.so try_first_pass
auth optional pam_krb5.so try_first_pass
В Debian и Ubuntu это требует установки libpam-ssh .
try_first_pass
или никакой вариант не должен работать в этом случае.gert
противgertvdijk
.Обычно Kerberos будет интегрирован с PAM pam_krb5.so. Он попытается получить билет Kerberos на основе вашего имени пользователя и пароля, который вы указали. Он также может использовать это, чтобы проверить, разрешено ли вам входить в систему, но это может быть установлено, чтобы игнорировать, если вы просто хотите билет. Он должен быть добавлен как модуль аутентификации и сеанс, возможно, также и пароль, если вы планируете синхронизировать пароль Kerberos с вашим рабочим столом. Если вы планируете использовать Kerberos для проверки имени пользователя, вам также следует настроить файл keytab по адресу /etc/krb5.keytab с ключом для host/hostname.example.com@EXAMPLE.COM, чтобы заменить hostname и example.com в соответствии с ваше окружение.
источник