Eu procuraria usar o pam-krb5 .
No Debian e no Ubuntu, deve ser apt-get install libpam-krb5
.
A configuração do PAM seria algo como:
auth required pam_unix.so
auth optional pam_krb5.so try_first_pass
ou
auth required pam_unix.so
auth optional pam_krb5.so use_first_pass
em /etc/pam.d/common-auth
.
Ele usa a senha que você usou para autenticar localmente, por exemplo, a senha em /etc/shadow
e, em seguida, tenta usar a mesma senha do Kerberos.
Se a sua senha do Kerberos é a mesma que a senha do seu sistema, você não precisa digitá-la novamente.
Se a sua senha do Kerberos for diferente da senha do seu sistema, o que acontece depende se você usou try_first_pass
ou use_first_pass
:
-
try_first_pass
solicitará sua senha do Kerberos -
use_first_pass
não perguntará, mas você terá que executarkinit
depois
Note que isso provavelmente torna o ksshaskpass redundante também, porque você também pode ter:
auth required pam_unix.so
auth optional pam_ssh.so try_first_pass
auth optional pam_krb5.so try_first_pass
No Debian e no Ubuntu, isso requer a instalação de libpam-ssh .