Automatische Kerberos-Ticketinitialisierung beim Login

10

Ich verwende ksshaskpass, um meine passwortgeschützten Schlüssel ssh-agentbeim Anmelden bei KDE hinzuzufügen. Gibt es etwas Ähnliches für Kerberos?

Šimon Tóth
quelle

Antworten:

12

Ich würde versuchen , pam-krb5 zu verwenden .

Unter Debian und Ubuntu sollte es so sein apt-get install libpam-krb5.

Die PAM-Konfiguration würde ungefähr so ​​aussehen:

auth required pam_unix.so
auth optional pam_krb5.so try_first_pass

oder

auth required pam_unix.so
auth optional pam_krb5.so use_first_pass   

in /etc/pam.d/common-auth.

Es verwendet das Kennwort, das Sie zur lokalen Authentifizierung verwendet haben, z. B. das Kennwort in /etc/shadow, und versucht dann, dasselbe wie Ihr Kerberos-Kennwort zu verwenden.

Wenn Ihr Kerberos-Kennwort mit Ihrem Systemkennwort übereinstimmt, müssen Sie es nicht erneut eingeben.

Wenn sich Ihr Kerberos-Kennwort von Ihrem Systemkennwort unterscheidet, hängt es davon ab, ob Sie Folgendes verwendet haben try_first_passoder use_first_pass:

  • try_first_pass Sie werden nach Ihrem Kerberos-Passwort gefragt
  • use_first_passIch werde kinitdich nicht fragen, aber du musst dich später selbst rennen

Beachten Sie, dass dies wahrscheinlich auch ksshaskpass überflüssig macht, da Sie auch Folgendes haben können:

auth required pam_unix.so
auth optional pam_ssh.so try_first_pass
auth optional pam_krb5.so try_first_pass

Unter Debian und Ubuntu muss dazu libpam-ssh installiert werden .

Mikel
quelle
Ja, ich weiß davon, aber ich möchte eine Lösung, die mit verschiedenen Passwörtern funktioniert.
Šimon Tóth
@ Let_Me_Be: Können Sie das näher erläutern? try_first_passoder in diesem Fall sollte keine Option funktionieren.
Mikel
1
Wie würde dies funktionieren, wenn sich mein Kerberos-Benutzername vom lokalen Benutzernamen unterscheidet? ZB gertversus gertvdijk.
Gertvdijk
Es wäre toll, wenn Kinit einen Schlüsselring verwenden würde. Weiß jemand so etwas?
Dave
1

Normalerweise wird Kerberos in PAM pam_krb5.so integriert. Es wird versucht, ein Kerberos-Ticket basierend auf Ihrem Benutzernamen und dem von Ihnen angegebenen Passwort zu erwerben. Damit können Sie auch überprüfen, ob Sie sich anmelden dürfen. Dies kann jedoch so eingestellt werden, dass es ignoriert wird, wenn Sie nur das Ticket möchten. Es muss sowohl als Authentifizierungs- als auch als Sitzungsmodul hinzugefügt werden, wahrscheinlich auch als Kennwort, wenn Sie Ihr Kerberos-Kennwort mit Ihrem Desktop synchronisieren möchten. Wenn Sie Kerberos zum Überprüfen der Anmeldung eines Benutzers verwenden möchten, sollten Sie Ihre Keytab-Datei auch unter /etc/krb5.keytab mit einem Schlüssel für host/[email protected] einrichten und Hostname und example.com entsprechend ersetzen Ihre Umgebung.

Pinguin359
quelle