对,所以我在Centos7中用PAM挣扎了一下。
我不知道如何手动configuration它,并使更改永久,以便我成功sshlogin后得到一张kerberos票证。
你可以看到的主要身份validation方法是winbind,我希望它保持这样。
到目前为止,我已经在使用authconfig自动生成的/etc/pam.d/system-auth中:
auth required pam_env.so auth sufficient pam_unix.so nullok try_first_pass auth requisite pam_succeed_if.so uid >= 1000 quiet_success auth sufficient pam_winbind.so use_first_pass auth required pam_deny.so 在之前的版本中,我会添加:
auth optional pam_krb5.so try_first_pass
任何想法如何在Centos7中做到这一点? 我不想使用Kerberos进行身份validation,因为它可能会弄乱密码更改中的所有内容。
在/etc/security/pam_winbind.conf设置krb5_auth = yes 。 这个文件应该是安全的authconfig任何更新。
您可以在pam中使用auth sufficient pam_winbind.so use_first_pass krb5_auth ,但是可能会被authconfig覆盖。
我最终使用了authconfig,这意味着我必须准备一个完整的kerberized环境。
authconfig --enablewinbindkrb5 --update
注意,对于打算使用这个命令的其他人来说,这个命令会更新PAM堆栈,我相信它会使/etc/security/pam_winbind.conf中的configuration失效,并修改/etc/samba/smb.conf。
为了正确使用它,机器必须有一个有效的krb5.conf,属于该域,并有一个有效的系统密钥表。
然后在每一个成功的sshlogin上创build一个krbtgt密钥,它允许票据生成和用于身份validation。 这意味着ssh不会要求input密码才能在下一台服务器上login,如果它有一个适当的kerberized设置。