我ksshaskpass用来ssh-agent在登录KDE时将受密码保护的密钥添加到Kerberos中,是否有类似的东西?
我ksshaskpass用来ssh-agent在登录KDE时将受密码保护的密钥添加到Kerberos中,是否有类似的东西?
Answers:
我会考虑使用pam-krb5。
在Debian和Ubuntu上,应该为apt-get install libpam-krb5。
PAM配置如下所示:
auth required pam_unix.so
auth optional pam_krb5.so try_first_pass
要么
auth required pam_unix.so
auth optional pam_krb5.so use_first_pass
在/etc/pam.d/common-auth。
它使用您用于本地身份验证的密码,例如中的密码/etc/shadow,然后尝试使用与Kerberos密码相同的密码。
如果您的Kerberos密码与系统密码相同,则无需再次输入。
如果您的Kerberos密码与系统密码不同,那么发生的情况取决于您使用try_first_pass还是use_first_pass:
try_first_pass 会要求您提供Kerberos密码use_first_pass不会问你,但是你kinit以后要跑自己请注意,这也可能使ksshaskpass变得多余,因为您还可以具有:
auth required pam_unix.so
auth optional pam_ssh.so try_first_pass
auth optional pam_krb5.so try_first_pass
在Debian和Ubuntu上,这需要安装libpam-ssh。
try_first_pass否则在这种情况下任何选项均不起作用。
gert与gertvdijk。
通常,Kerberos将与PAM pam_krb5.so集成。它将尝试根据您的用户名和提供的密码获取Kerberos票证。它还可以使用它来验证是否允许您登录,但是如果您只想要票证,可以将其设置为忽略。需要同时将其作为身份验证和会话模块添加,如果您打算使Kerberos密码与桌面保持同步,则还可能需要添加密码。如果计划使用Kerberos验证用户的登录名,则还应在/etc/krb5.keytab上设置keytab文件,并使用host/hostname.example.com@EXAMPLE.COM的密钥替换相应的hostname和example.com以用于您的环境。