我在这里有一台CentOS 6机器,并且希望为来自另一个森林的用户提供SSH访问,这是值得信赖的。 我得到了一个临时解决方法,即:
1)将/etc/pam.d/vncserver中的内容更改为
auth include password-auth 2)添加这两行/etc/pam.d/password-auth
auth sufficient pam_krb5.so use_first_pass realm=NEW.DOMAIN.NET password sufficient pam_krb5.so use_authtok realm=NEW.DOMAIN.NET
所以看起来这样:
%PAM-1.0 This file is auto-generated. User changes will be destroyed the next time authconfig is run. auth required pam_env.so auth sufficient pam_unix.so nullok try_first_pass auth requisite pam_succeed_if.so uid >= 500 quiet auth sufficient pam_krb5.so use_first_pass auth sufficient pam_krb5.so use_first_pass realm=NEW.DOMAIN.NET auth required pam_deny.so account required pam_unix.so broken_shadow account sufficient pam_localuser.so account sufficient pam_succeed_if.so uid < 500 quiet account [default=bad success=ok user_unknown=ignore] pam_krb5.so account required pam_permit.so password requisite pam_cracklib.so try_first_pass retry=3 type= password sufficient pam_unix.so sha512 shadow nis nullok try_first_pass use_authtok password sufficient pam_krb5.so use_authtok password sufficient pam_krb5.so use_authtok realm=NEW.DOMAIN.NET password required pam_deny.so session optional pam_keyinit.so revoke session required pam_limits.so session [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid session required pam_unix.so session optional pam_krb5.so
3)添加新的域名到/etc/krb5.conf
4)重启SSH守护进程
– >可以正常工作,但是在每个system-config-authentication(authconfig -update_all)之后,2)的改变被覆盖(撤销),SSH连接被拒绝。
我的问题是在哪里添加额外的新域,以保持它永久工作。 一个简单的替代将不起作用,因为旧的域名/森林仍在使用中。
只是将新域添加到/etc/krb5.so将不会执行任何操作,因为它只检查默认域,而不是“NEW.DOMAIN.NET”。 任何想法是值得欢迎的
问候,托马斯
您可以使用FreeIPA AD同步function。 这不是真的一样,但做同样的工作,更容易pipe理和控制。