PAMを使用してsshログインでKerberosチケットを初期化します
そうです、Centos7のPAMで少し苦労しています。
手動で構成し、変更を永続的にして、sshログインが成功した後にKerberosチケットを取得する方法がわかりません。
ご覧のとおり、主要な認証方法はwinbindであり、このままにしておきたいと思います。
これまでのところ、authconfigを使用して自動生成される/etc/pam.d/system-authにあります。
auth required pam_env.so
auth sufficient pam_unix.so nullok try_first_pass
auth requisite pam_succeed_if.so uid >= 1000 quiet_success
auth sufficient pam_winbind.so use_first_pass
auth required pam_deny.so
以前のリリースでは、次を追加します。
auth optional pam_krb5.so try_first_pass
Centos7でこれを行う方法はありますか?ケルベロスを認証に使用したくないのは、パスワードの変更ですべてが台無しになる可能性があるためです。
結局、authconfigを使用することになりました。つまり、完全なkerberized環境を準備する必要がありました。
authconfig --enablewinbindkrb5 --update
これを使用することを計画している他の人のために、このコマンドはPAMスタックを更新します。これは、/ etc/security/pam_winbind.confの構成を無効にし、/ etc/samba /smb.confも変更すると思います。
これを適切に使用するには、マシンに有効なkrb5.confがあり、ドメインに属し、有効なシステムキータブが必要です。
次に、sshログインが成功するたびに、チケットの生成と認証の使用を可能にするkrbtgtキーが作成されます。これは、適切なkerberized設定があれば、sshが次のサーバーにログインするためのパスワードを要求しないことを意味します。
krb5_auth = yes に/etc/security/pam_winbind.confを設定します。このファイルは、authconfigによる更新から安全である必要があります。
Pamでauth sufficient pam_winbind.so use_first_pass krb5_authを使用できますが、それはauthconfigによってオーバーライドされる可能性があります。