Você pode usar o recurso de sincronização do FreeIPAs AD para isso. Não é realmente o mesmo, mas faz o mesmo trabalho e é mais fácil de gerenciar e controlar.
Eu tenho uma máquina do CentOS 6 aqui e quero dar acesso SSH para usuários de outra floresta, o que é confiável. Eu tenho uma solução temporária, que é:
1) altere o conteúdo em /etc/pam.d/vncserver para
auth include password-auth
2) adicione estas duas linhas /etc/pam.d/password-auth
auth sufficient pam_krb5.so use_first_pass realm=NEW.DOMAIN.NET
password sufficient pam_krb5.so use_authtok realm=NEW.DOMAIN.NET
então parece assim:
%PAM-1.0
This file is auto-generated.
User changes will be destroyed the next time authconfig is run.
auth required pam_env.so
auth sufficient pam_unix.so nullok try_first_pass
auth requisite pam_succeed_if.so uid >= 500 quiet
auth sufficient pam_krb5.so use_first_pass
auth sufficient pam_krb5.so use_first_pass realm=NEW.DOMAIN.NET
auth required pam_deny.so
account required pam_unix.so broken_shadow
account sufficient pam_localuser.so
account sufficient pam_succeed_if.so uid < 500 quiet
account [default=bad success=ok user_unknown=ignore] pam_krb5.so
account required pam_permit.so
password requisite pam_cracklib.so try_first_pass retry=3 type=
password sufficient pam_unix.so sha512 shadow nis nullok try_first_pass use_authtok
password sufficient pam_krb5.so use_authtok
password sufficient pam_krb5.so use_authtok realm=NEW.DOMAIN.NET
password required pam_deny.so
session optional pam_keyinit.so revoke
session required pam_limits.so
session [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid
session required pam_unix.so
session optional pam_krb5.so
3) adicione um novo nome de domínio ao /etc/krb5.conf
4) reinicie o daemon SSH
- > Funciona bem, mas após cada autenticação de configuração de sistema (authconfig -update_all) as alterações de 2) são sobrescritas (desfeitas) e a conexão SSH é recusada.
Minha pergunta é onde adicionar o novo domínio adicional para mantê-lo funcionando permanentemente. Uma simples substituição não funcionará, pois o antigo domínio / floresta ainda está em uso.
Apenas adicionar o novo domínio apenas ao /etc/krb5.so não fará o truque, pois só verifica o domínio padrão, que não é "NEW.DOMAIN.NET". Qualquer ideia é bem vinda ...
Atenciosamente, Thomas
Você pode usar o recurso de sincronização do FreeIPAs AD para isso. Não é realmente o mesmo, mas faz o mesmo trabalho e é mais fácil de gerenciar e controlar.