1 votes

koullislp avatar

Initialiser le ticket Kerberos lors de la connexion ssh en utilisant PAM

Demandé el 20 de Avril, 2016
Quand la question a-t-elle été
2372 affichage
Nombre de visites la question a
2 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

Donc, j'ai un peu de mal avec PAM dans Centos7.

Je n'ai aucune idée de comment le configurer manuellement et de rendre les modifications permanentes afin d'obtenir un ticket Kerberos après une connexion ssh réussie.

La méthode d'authentification principale comme vous pouvez le voir est winbind et je veux qu'elle reste ainsi.

Jusqu'à présent, j'ai dans mon /etc/pam.d/system-auth qui est généré automatiquement en utilisant authconfig:

auth        required      pam_env.so
auth        sufficient    pam_unix.so nullok try_first_pass
auth        requisite     pam_succeed_if.so uid >= 1000 quiet_success
auth        sufficient    pam_winbind.so use_first_pass
auth        required      pam_deny.so

Dans les versions précédentes, j'ajouterais :

auth optional       pam_krb5.so       try_first_pass

Une idée de comment faire cela dans Centos7 ? Je ne veux pas utiliser Kerberos pour l'authentification car cela va probablement perturber tout lors d'un changement de mot de passe.

Demandé el 20 de Avril, 2016 par koullislp

Réponses

Trop de publicités?

1voto

84104 avatar
84104 Points 12538

Définissez krb5_auth = yes dans /etc/security/pam_winbind.conf. Ce fichier devrait être protégé contre toute mise à jour par authconfig.

Vous pourriez utiliser auth sufficient pam_winbind.so use_first_pass krb5_auth dans PAM, mais cela pourrait être annulé par authconfig.

Répondu el 21 de Avril, 2016 par 84104 (12538 Points )

0 votes

Avatar de koullislp

Quelque part dans le processus, le serveur n'accepte pas le ticket krb5 que l'utilisateur envoie et échoue à l'authentification par mot de passe simple.

Commenté el 21 de Avril, 2016 par koullislp

0 votes

Avatar de koullislp

Client ssh-> "debug2: nous avons envoyé un paquet gssapi-with-mic, en attente d'une réponse"

Commenté el 21 de Avril, 2016 par koullislp

1voto

koullislp avatar
koullislp Points 282

J'ai fini par utiliser authconfig après tout, ce qui signifie que j'ai dû préparer un environnement entièrement kerberized.

authconfig --enablewinbindkrb5 --update

Note pour toute personne prévoyant d'utiliser ceci, cette commande met à jour la pile PAM, je crois qu'elle invalide la configuration dans /etc/security/pam_winbind.conf et modifie également /etc/samba/smb.conf.

Pour l'utiliser correctement, la machine doit avoir un krb5.conf valide, appartenir au domaine et avoir un keytab système valide.

Ensuite, à chaque connexion ssh réussie, une clé krbtgt sera créée, ce qui permet la génération de tickets et leur utilisation pour l'authentification. Cela signifie que ssh ne demandera pas de mot de passe pour se connecter au prochain serveur s'il a une configuration kerberized appropriée.

Répondu el 22 de Avril, 2016 par koullislp (282 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X