Автоматическая инициализация билета Kerberos при входе в систему

10

Я использую, ksshaskpassчтобы добавить свои защищенные паролем ключи ssh-agentпри входе в KDE, есть ли что-то подобное для Kerberos?

Шимон Тот
источник

Ответы:

12

Я хотел бы изучить использование pam-krb5 .

На Debian и Ubuntu так и должно быть apt-get install libpam-krb5.

Конфигурация PAM будет выглядеть примерно так:

auth required pam_unix.so
auth optional pam_krb5.so try_first_pass

или

auth required pam_unix.so
auth optional pam_krb5.so use_first_pass   

в /etc/pam.d/common-auth.

Он берет пароль, который вы использовали для локальной аутентификации, например, пароль /etc/shadow, и затем пытается использовать тот же пароль , что и ваш пароль Kerberos.

Если ваш пароль Kerberos совпадает с системным паролем, вам не нужно вводить его снова.

Если ваш пароль Kerberos отличается от вашего системного пароля, то, что произойдет, зависит от того, использовали ли вы try_first_passили use_first_pass:

  • try_first_pass спросит у вас пароль Kerberos
  • use_first_passне буду спрашивать вас, но вам придется бежать kinitпозже

Обратите внимание, что это, вероятно, делает ksshaskpass избыточным, потому что вы также можете иметь:

auth required pam_unix.so
auth optional pam_ssh.so try_first_pass
auth optional pam_krb5.so try_first_pass

В Debian и Ubuntu это требует установки libpam-ssh .

Mikel
источник
Да, я знаю об этом, но я бы хотел какое-то решение, которое работает с разными паролями.
Шимон Тот
@Let_Me_Be: Вы можете уточнить? try_first_passили никакой вариант не должен работать в этом случае.
Микель
1
Как это будет работать, если мое имя пользователя kerberos отличается от локального имени пользователя? Например, gertпротив gertvdijk.
gertvdijk
Было бы здорово, если бы kinit использовал брелок, кто-нибудь знает что-то подобное?
Дэйв
1

Обычно Kerberos будет интегрирован с PAM pam_krb5.so. Он попытается получить билет Kerberos на основе вашего имени пользователя и пароля, который вы указали. Он также может использовать это, чтобы проверить, разрешено ли вам входить в систему, но это может быть установлено, чтобы игнорировать, если вы просто хотите билет. Он должен быть добавлен как модуль аутентификации и сеанс, возможно, также и пароль, если вы планируете синхронизировать пароль Kerberos с вашим рабочим столом. Если вы планируете использовать Kerberos для проверки имени пользователя, вам также следует настроить файл keytab по адресу /etc/krb5.keytab с ключом для host/hostname.example.com@EXAMPLE.COM, чтобы заменить hostname и example.com в соответствии с ваше окружение.

penguin359
источник