Inicialización automática de tickets kerberos al iniciar sesión

10

Estoy usando ksshaskpasspara agregar mis claves protegidas por contraseña ssh-agental iniciar sesión en KDE, ¿hay algo similar para kerberos?

Šimon Tóth
fuente

Respuestas:

12

Me gustaría estudiar el uso de pam-krb5 .

En Debian y Ubuntu, debería serlo apt-get install libpam-krb5.

La configuración de PAM se vería así:

auth required pam_unix.so
auth optional pam_krb5.so try_first_pass

o

auth required pam_unix.so
auth optional pam_krb5.so use_first_pass   

en /etc/pam.d/common-auth.

Toma la contraseña que usó para autenticarse localmente, por ejemplo, la contraseña /etc/shadow, y luego intenta usar la misma que su contraseña de Kerberos.

Si su contraseña de Kerberos es la misma que la contraseña de su sistema, no necesita volver a escribirla.

Si su contraseña de Kerberos es diferente de la contraseña de su sistema, lo que sucede depende de si utilizó try_first_passo use_first_pass:

  • try_first_pass le pedirá su contraseña Kerberos
  • use_first_passno te preguntará, pero tendrás que correr kinitmás tarde

Tenga en cuenta que esto probablemente también haga que ksshaskpass sea redundante, porque también puede tener:

auth required pam_unix.so
auth optional pam_ssh.so try_first_pass
auth optional pam_krb5.so try_first_pass

En Debian y Ubuntu, eso requiere instalar libpam-ssh .

Mikel
fuente
Sí, sé sobre esto, pero me gustaría una solución que funcione con diferentes contraseñas.
Šimon Tóth
@Let_Me_Be: ¿Puedes dar más detalles? try_first_passo ninguna opción debería funcionar en ese caso.
Mikel
1
¿Cómo funcionaría esto si mi nombre de usuario kerberos es diferente del nombre de usuario local? Ej . gertVersus gertvdijk.
gertvdijk
Sería genial tener kinit usando un llavero, ¿alguien sabe algo así?
Dave
1

Normalmente, Kerberos se integraría con PAM pam_krb5.so. Intentará adquirir un ticket Kerberos basado en su nombre de usuario y la contraseña que proporcione. También puede usar eso para verificar si se le permite iniciar sesión, pero se puede configurar para ignorar si solo desea el boleto. Debe agregarse como módulo de autenticación y de sesión, probablemente también como contraseña si planea mantener su contraseña Kerberos sincronizada con su escritorio. Si planea usar Kerberos para verificar el inicio de sesión de un usuario, también debe configurar su archivo de tabla de claves en /etc/krb5.keytab con una clave para host/[email protected] reemplace hostname y example.com según corresponda para su entorno

pingüino359
fuente