Eu configurei recentemente um sistema Linux (Debian-Jesse) que se juntou a um domínio Kerberos baseado em MS e foi configurado para permitir a autenticação baseada em Kerberos para acesso remoto.
O único problema é que a autenticação não será bem-sucedida, a menos que haja um usuário local correspondente. Por exemplo, se eu tentar entrar como wboynton @ EXAMPLE.COM @ xx.xxx.xxx.xx, ele aceitará minha senha e eu observarei o auth.log confirmar minha autenticação do kerberos e depois me rejeitar devido a uma falha em encontrar eu no /etc/shadow
.
Em seguida, se eu executar um sudo adduser wboynton
na máquina remota e tentar fazer o login remotamente da mesma maneira que antes, ele será bem-sucedido.
Eu olhei em volta e encontrei uma sugestão na internet para escrever um script pam_script que criaria um usuário antes de testar a autenticação auth em cada tentativa de login kerberizado, se ainda não existir. Isso parece desajeitado para mim, no entanto. Eu ainda não consegui rastrear uma maneira sólida de designar o Kerberos como uma autoridade e ignorar /etc/passwd
e /etc/shadow
inteiramente. Existe tal sistema?
Obrigado!
Tags ssh pam active-directory kerberos linux