我认为这是一个简单的解决scheme,但是我更愿意先问问我们的内部网服务器。 在支持会话期间,我的同事和我意识到我们可以通过SSHloginKerberos凭据,但不能通过控制台login(在这种情况下,ESXi的VI Client,但并不重要)。 那么,我只是修改login PAMconfiguration吗?
当前状态:
# PAM configuration for the "sshd" service # # auth #auth sufficient pam_opie.so no_warn no_fake_prompts #auth requisite pam_opieaccess.so no_warn allow_local #auth sufficient pam_ssh.so no_warn try_first_pass auth sufficient pam_krb5.so try_first_pass auth required pam_unix.so try_first_pass # account #account required pam_nologin.so #account required pam_login_access.so account sufficient pam_krb5.so try_first_pass account required pam_unix.so # password #password sufficient pam_krb5.so no_warn try_first_pass #password required pam_unix.so no_warn try_first_pass password required pam_permit.so # session #session optional pam_ssh.so #session required pam_permit.so session required pam_permit.so # # # PAM configuration for the "login" service # # auth auth sufficient pam_self.so no_warn auth include system # account account requisite pam_securetty.so account required pam_nologin.so account include system # session session include system # password password include system 任何提示或提示的欢迎。
你的本能是正确的 – 解决scheme是“让你的login服务的PAMconfiguration看起来像你的SSH服务的PAMconfiguration”
不完全相似,请注意 – 确保您仍然可以以root身份进入非Kerberoslogin,例如,如果您需要在紧急情况下跳转到控制台上。 PAM非常适合这种后备configuration。
有关更多详细信息,请参阅PAM模块的手册页以及man pam.conf以获取有关PAMconfiguration文件格式的详细信息。