Eu recentemente tentei configurar um novo ambiente de servidor Ubuntu, nós queríamos configurar um sistema de login único que funcionasse como o Windows AD. Nesse caso, você utilizaria o SSH com um nome de usuário e senha do kerberos e será autenticado como de costume, e criará um diretório pessoal local se ainda não tiver um e poderá prosseguir como um usuário local normal.
Neste caso, todos os nossos servidores são Ubuntu Server 16.04 / 16.10, e isso não pode ser alterado.
Eu acompanhei e estudei com o livro de O'Reilly 'Kerberos: The Definitive Guide' e daqui consegui configurar meu KDC e DNS, até onde eu sei, corretamente. Quando tento configurar um cliente, coloco o arquivo krb5.conf nos lugares certos, certifico-me de ter os principais usuários, mas sempre que tento efetuar login, ele fica pendente por um segundo e a autenticação falha com o erro: Decrypt integrity check failed em auth.log
Nesse caso, estou usando o módulo PAM pam_krb5.so e pam_mkhomedir.so para criar um novo diretório inicial de usuário. Estes foram definidos usando o utilitário pam-auth-update do Ubuntu.
Eu posso conseguir bilhetes kerberos muito bem se eu manualmente kinit da máquina cliente, mas o login parece falhar completamente.
Por um tempo nós tentamos avaliar o FreeIPA, mas isso pareceu falhar de forma espetacular e in-resovably no Ubuntu para nós, parecia mais problema do que vale a pena.
Eu realmente não tenho certeza do que sinto falta aqui, e toda vez que tento encontrar informações sobre o assunto parece que estou perdendo um passo crucial que é esperado de mim, mas ninguém parece me dizer?
Obrigado!