ログイン時の自動kerberosチケット初期化


10

KDE ksshaskpassへのssh-agentログイン時にパスワードで保護されたキーを追加するために使用していますが、Kerberosに似たものはありますか?

回答:


12

私はpam-krb5の使用を検討します。

DebianとUbuntuの場合はですapt-get install libpam-krb5

PAM構成は次のようになります。

auth required pam_unix.so
auth optional pam_krb5.so try_first_pass

または

auth required pam_unix.so
auth optional pam_krb5.so use_first_pass   

の中で/etc/pam.d/common-auth

ローカルでの認証に使用したパスワード(のパスワード/etc/shadowなど)を取得し、Kerberosパスワードと同じものを使用しようとします。

Kerberosパスワードがシステムパスワードと同じである場合、再度入力する必要はありません。

Kerberosパスワードがシステムパスワードと異なる場合は、何が起こるかは、あなたが使用するかどうかに依存しますtry_first_passuse_first_pass

  • try_first_pass Kerberosパスワードを要求します
  • use_first_pass尋ねませんが、kinit後で自分で実行する必要があります

これはおそらくksshaskpassも冗長にすることに注意してください。

auth required pam_unix.so
auth optional pam_ssh.so try_first_pass
auth optional pam_krb5.so try_first_pass

DebianとUbuntuでは、libpam-sshをインストールする必要があります


ええ、私はこれについて知っていますが、異なるパスワードで機能する解決策が欲しいです。
サイモン・トス

@Let_Me_Be:詳しく説明できますか? try_first_passその場合、オプションは機能しません。
ミケル

1
私のケルベロスのユーザー名がローカルのユーザー名と異なる場合、これはどのように機能しますか?例えばgertgertvdijk
gertvdijk 2013

キーリングを使用してkinitを作成するのは素晴らしいことですが、誰かがそのようなことを知っていますか?
Dave

1

通常、KerberosはPAM pam_krb5.soと統合されます。ユーザー名と指定したパスワードに基づいてKerberosチケットを取得しようとします。それを使用して、ログインが許可されているかどうかを確認することもできますが、チケットだけが必要な場合は無視するように設定できます。認証モジュールとセッションモジュールの両方として追加する必要があります。Kerberosパスワードをデスクトップと同期させる場合は、おそらくパスワードも追加する必要があります。ユーザーのログインを検証するためにKerberosを使用する場合は、/ etc / krb5.keytabにあるkeytabファイルを設定して、host / hostname.example.com @ EXAMPLE.COMのキーをホスト名とexample.comに置き換えてください。あなたの環境。

弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.