Inicialização automática do ticket do kerberos no login

Eu procuraria usar o pam-krb5 .

No Debian e no Ubuntu, deve ser apt-get install libpam-krb5 .

A configuração do PAM seria algo como:

auth required pam_unix.so
auth optional pam_krb5.so try_first_pass

ou

auth required pam_unix.so
auth optional pam_krb5.so use_first_pass   

em /etc/pam.d/common-auth .

Ele usa a senha que você usou para autenticar localmente, por exemplo, a senha em /etc/shadow e, em seguida, tenta usar a mesma senha do Kerberos.

Se a sua senha do Kerberos é a mesma que a senha do seu sistema, você não precisa digitá-la novamente.

Se a sua senha do Kerberos for diferente da senha do seu sistema, o que acontece depende se você usou try_first_pass ou use_first_pass :

• try_first_pass solicitará sua senha do Kerberos
• use_first_pass não perguntará, mas você terá que executar kinit depois

Note que isso provavelmente torna o ksshaskpass redundante também, porque você também pode ter:

auth required pam_unix.so
auth optional pam_ssh.so try_first_pass
auth optional pam_krb5.so try_first_pass

No Debian e no Ubuntu, isso requer a instalação de libpam-ssh .

Normalmente, o Kerberos seria integrado ao PAM pam_krb5.so. Ele tentará adquirir um tíquete Kerberos com base no seu nome de usuário e na senha que você fornecer. Ele também pode usar isso para verificar se você tem permissão para efetuar login, mas isso pode ser configurado para ignorar se você quiser apenas o ticket. Ele precisa ser adicionado como um módulo de autenticação e de sessão, provavelmente também uma senha, se você planeja manter sua senha do Kerberos em sincronia com a sua área de trabalho. Se você planeja usar o Kerberos para verificar o login de um usuário, você também deve configurar seu arquivo keytab em /etc/krb5.keytab com uma chave para host/[email protected] replace hostname e example.com conforme apropriado para seu ambiente.