Inizializzazione automatica del ticket Kerberos all'accesso

Sto usando ksshaskpassper aggiungere le mie chiavi protette da password ssh-agentaccedendo a KDE, c'è qualcosa di simile per Kerberos?

Vorrei esaminare usando pam-krb5 .

Su Debian e Ubuntu, dovrebbe essere apt-get install libpam-krb5.

La configurazione di PAM sarebbe simile a:

auth required pam_unix.so
auth optional pam_krb5.so try_first_pass

o

auth required pam_unix.so
auth optional pam_krb5.so use_first_pass   

in /etc/pam.d/common-auth.

Prende la password utilizzata per l'autenticazione locale, ad esempio la password /etc/shadow, e quindi tenta di utilizzare la stessa password Kerberos.

Se la password Kerberos è uguale alla password del sistema, non è necessario digitarla di nuovo.

Se la tua password Kerberos è diversa dalla tua password di sistema, cosa succede dipende dal fatto che tu abbia usato try_first_passo use_first_pass:

• try_first_pass ti chiederà la tua password Kerberos
• use_first_passnon te lo chiederò, ma dovrai scappare kinitpiù tardi

Nota che questo probabilmente rende anche ridondante ksshaskpass, perché puoi anche avere:

auth required pam_unix.so
auth optional pam_ssh.so try_first_pass
auth optional pam_krb5.so try_first_pass

Su Debian e Ubuntu, ciò richiede l'installazione di libpam-ssh .

Normalmente, Kerberos sarebbe integrato con PAM pam_krb5.so. Tenterà di acquisire un biglietto Kerberos in base al nome utente e alla password forniti. Può anche usarlo per verificare se sei autorizzato ad accedere, ma può essere impostato per ignorare se vuoi solo il ticket. Deve essere aggiunto sia come modulo di autenticazione sia come modulo di sessione, probabilmente anche password se si prevede di mantenere la password Kerberos sincronizzata con il desktop. Se si prevede di utilizzare Kerberos per la verifica dell'accesso di un utente, è necessario impostare anche il file keytab in /etc/krb5.keytab con una chiave per host/hostname.example.com@EXAMPLE.COM sostituire hostname ed example.com come appropriato per il tuo ambiente.