Inicializar o ticket Kerberos no login do ssh usando o PAM

Question

Inicializar o ticket Kerberos no login do ssh usando o PAM

#1 resposta do (1 votos)
#2 resposta do (1 votos)

1

Certo, então estou lutando um pouco com o PAM em Centos7.

Eu não tenho idéia de como configurá-lo manualmente e fazer as alterações permanentes para que eu receba um ticket do kerberos após um login ssh bem-sucedido.

O método de autenticação principal, como você pode ver, é winbind e eu quero que fique assim.

Até agora eu tenho em meu /etc/pam.d/system-auth que é gerado automaticamente usando authconfig:

auth        required      pam_env.so
auth        sufficient    pam_unix.so nullok try_first_pass
auth        requisite     pam_succeed_if.so uid >= 1000 quiet_success
auth        sufficient    pam_winbind.so use_first_pass
auth        required      pam_deny.so

Nas versões anteriores, adicionaria:

auth optional       pam_krb5.so       try_first_pass

Alguma ideia de como fazer isso no Centos7? Eu não quero usar o kerberos para autenticação, pois ele provavelmente irá bagunçar tudo em uma mudança de senha.

pam kerberos linux centos7 winbind

por koullislp 20.04.2016 / 10:52

2 respostas

1

Defina krb5_auth = yes em /etc/security/pam_winbind.conf . Este arquivo deve estar protegido de qualquer atualização por authconfig .

Você pode usar auth sufficient pam_winbind.so use_first_pass krb5_auth no pam, mas isso pode ser substituído por authconfig .

por 21.04.2016 / 06:11

Tags pam kerberos linux centos7 winbind

Instale a placa de exibição no servidor ProLiant DL580 Gen8 O que é a cadeia de iptables correta para colocar -j NETFLOW

score 1 · Accepted Answer

Acabei usando o authconfig afterall, o que significa que eu tive que preparar um ambiente totalmente kerberizado.

authconfig --enablewinbindkrb5 --update

Nota para qualquer outra pessoa que esteja planejando usar isso, este comando atualiza a pilha do PAM, eu acredito que invalida a configuração em /etc/security/pam_winbind.conf e também modifica o /etc/samba/smb.conf.

Para usá-lo corretamente, a máquina deve ter um krb5.conf válido, pertencer ao domínio e ter um keytab de sistema válido.

Em seguida, em cada login bem-sucedido do ssh, uma chave krbtgt será criada, permitindo a geração e uso de tickets para autenticação. Isso significa que o ssh não pedirá uma senha para entrar no próximo servidor se ele tiver uma configuração kerberizada adequada.