Inisialisasi tiket kerberos otomatis saat masuk

10

Saya menggunakan ksshaskpassuntuk menambahkan kunci yang dilindungi kata sandi saya ssh-agentsetelah masuk ke KDE, apakah ada sesuatu yang serupa untuk kerberos?

Šimon Tóth
sumber

Jawaban:

12

Saya akan melihat menggunakan pam-krb5 .

Di Debian dan Ubuntu, seharusnya apt-get install libpam-krb5.

Konfigurasi PAM akan terlihat seperti:

auth required pam_unix.so
auth optional pam_krb5.so try_first_pass

atau

auth required pam_unix.so
auth optional pam_krb5.so use_first_pass   

di /etc/pam.d/common-auth.

Dibutuhkan kata sandi yang Anda gunakan untuk mengautentikasi secara lokal, mis. Kata sandi masuk /etc/shadow, dan kemudian mencoba menggunakan yang sama dengan kata sandi Kerberos Anda.

Jika kata sandi Kerberos Anda sama dengan kata sandi sistem Anda, Anda tidak perlu mengetiknya lagi.

Jika kata sandi Kerberos Anda berbeda dari kata sandi sistem Anda, apa yang terjadi tergantung pada apakah Anda menggunakan try_first_passatau use_first_pass:

  • try_first_pass akan menanyakan kata sandi Kerberos Anda
  • use_first_passtidak akan bertanya, tetapi Anda harus lari kinitsendiri nanti

Perhatikan bahwa ini mungkin juga membuat ksshaskpass berlebihan, karena Anda juga dapat memiliki:

auth required pam_unix.so
auth optional pam_ssh.so try_first_pass
auth optional pam_krb5.so try_first_pass

Di Debian dan Ubuntu, itu perlu menginstal libpam-ssh .

Mikel
sumber
Ya saya tahu tentang ini, tetapi saya ingin beberapa solusi yang berfungsi dengan kata sandi yang berbeda.
Šimon Tóth
@Let_Me_Be: Bisakah Anda menguraikan? try_first_passatau tidak ada opsi yang bisa digunakan dalam kasus itu.
Mikel
1
Bagaimana cara kerjanya jika nama pengguna kerberos saya berbeda dari nama pengguna lokal? Misalnya gertlawan gertvdijk.
gertvdijk
Akan lebih baik memiliki kinit menggunakan keyring, apakah seseorang tahu tentang sesuatu seperti itu?
Dave
1

Biasanya, Kerberos akan diintegrasikan dengan PAM pam_krb5.so. Ia akan berusaha mendapatkan tiket Kerberos berdasarkan nama pengguna Anda dan kata sandi yang Anda berikan. Itu juga dapat menggunakannya untuk memverifikasi apakah Anda diizinkan masuk, tetapi itu dapat diatur untuk diabaikan jika Anda hanya ingin tiketnya. Itu perlu ditambahkan sebagai modul sesi dan auth, mungkin juga kata sandi jika Anda berencana untuk menjaga kata sandi Kerberos Anda tetap sinkron dengan desktop Anda. Jika Anda berencana untuk menggunakan Kerberos untuk memverifikasi login pengguna, Anda juga harus mengatur file keytab Anda di /etc/krb5.keytab dengan kunci untuk host/[email protected] ganti hostname dan example.com yang sesuai untuk lingkungan Anda.

penguin359
sumber