web-dev-qa-db-ja.com

PAMを使用してsshログインでKerberosチケットを初期化します

そうです、Centos7のPAMで少し苦労しています。

手動で構成し、変更を永続的にして、sshログインが成功した後にKerberosチケットを取得する方法がわかりません。

ご覧のとおり、主要な認証方法はwinbindであり、このままにしておきたいと思います。

これまでのところ、authconfigを使用して自動生成される/etc/pam.d/system-authにあります。

auth        required      pam_env.so
auth        sufficient    pam_unix.so nullok try_first_pass
auth        requisite     pam_succeed_if.so uid >= 1000 quiet_success
auth        sufficient    pam_winbind.so use_first_pass
auth        required      pam_deny.so

以前のリリースでは、次を追加します。

auth optional       pam_krb5.so       try_first_pass

Centos7でこれを行う方法はありますか?ケルベロスを認証に使用したくないのは、パスワードの変更ですべてが台無しになる可能性があるためです。

1
koullislp

結局、authconfigを使用することになりました。つまり、完全なkerberized環境を準備する必要がありました。

authconfig --enablewinbindkrb5 --update

これを使用することを計画している他の人のために、このコマンドはPAMスタックを更新します。これは、/ etc/security/pam_winbind.confの構成を無効にし、/ etc/samba /smb.confも変更すると思います。

これを適切に使用するには、マシンに有効なkrb5.confがあり、ドメインに属し、有効なシステムキータブが必要です。

次に、sshログインが成功するたびに、チケットの生成と認証の使用を可能にするkrbtgtキーが作成されます。これは、適切なkerberized設定があれば、sshが次のサーバーにログインするためのパスワードを要求しないことを意味します。

1
koullislp

krb5_auth = yes/etc/security/pam_winbind.confを設定します。このファイルは、authconfigによる更新から安全である必要があります。

Pamでauth sufficient pam_winbind.so use_first_pass krb5_authを使用できますが、それはauthconfigによってオーバーライドされる可能性があります。

1
84104