J'utilise ksshaskpass
pour ajouter mes clés protégées par mot de passe ssh-agent
lors de la connexion à KDE, y a-t-il quelque chose de similaire pour Kerberos?
J'utilise ksshaskpass
pour ajouter mes clés protégées par mot de passe ssh-agent
lors de la connexion à KDE, y a-t-il quelque chose de similaire pour Kerberos?
Réponses:
Je chercherais à utiliser pam-krb5 .
Sur Debian et Ubuntu, ça devrait l'être apt-get install libpam-krb5
.
La configuration PAM ressemblerait à quelque chose comme:
auth required pam_unix.so
auth optional pam_krb5.so try_first_pass
ou
auth required pam_unix.so
auth optional pam_krb5.so use_first_pass
dans /etc/pam.d/common-auth
.
Il prend le mot de passe que vous avez utilisé pour vous authentifier localement, par exemple le mot de passe /etc/shadow
, puis essaie d'utiliser le même que votre mot de passe Kerberos.
Si votre mot de passe Kerberos est le même que votre mot de passe système, vous n'avez pas besoin de le saisir à nouveau.
Si votre mot de passe Kerberos est différent de votre mot de passe système, ce qui se passe dépend de votre utilisation try_first_pass
ou use_first_pass
:
try_first_pass
vous demandera votre mot de passe Kerberosuse_first_pass
ne vous demandera pas, mais vous devrez vous exécuter kinit
plus tardNotez que cela rend également ksshaskpass redondant, car vous pouvez également avoir:
auth required pam_unix.so
auth optional pam_ssh.so try_first_pass
auth optional pam_krb5.so try_first_pass
Sur Debian et Ubuntu, cela nécessite l'installation de libpam-ssh .
try_first_pass
ou aucune option ne devrait fonctionner dans ce cas.
gert
contre gertvdijk
.
Normalement, Kerberos serait intégré à PAM pam_krb5.so. Il tentera d'acquérir un ticket Kerberos en fonction de votre nom d'utilisateur et du mot de passe que vous fournissez. Il peut également l'utiliser pour vérifier si vous êtes autorisé à vous connecter, mais cela peut être configuré pour ignorer si vous voulez juste le ticket. Il doit être ajouté en tant que module d'authentification et de session, probablement aussi un mot de passe si vous prévoyez de garder votre mot de passe Kerberos synchronisé avec votre bureau. Si vous prévoyez d'utiliser Kerberos pour vérifier la connexion d'un utilisateur, vous devez également configurer votre fichier de clés dans /etc/krb5.keytab avec une clé pour host/hostname.example.com@EXAMPLE.COM remplacer hostname et example.com selon les besoins de votre environnement.