SSH、Kerberos、AD:how/where-to-config/etc/pam.d/password-auth？_Ssh_Active Directory_Centos_Kerberos_Pam

SSH、Kerberos、AD:how/where-to-config/etc/pam.d/password-auth？

ssh active-directory centos

SSH、Kerberos、AD:how/where-to-config/etc/pam.d/password-auth？,ssh,active-directory,centos,kerberos,pam,Ssh,Active Directory,Centos,Kerberos,Pam,我这里有一台CentOS 6机器，希望为来自另一个受信任的林的用户提供SSH访问权限。我有一个临时解决办法，就是：将/etc/pam.d/vncserver中的内容更改为： auth include password-auth 添加这两行/etc/pam.d/password auth： auth sufficient pam_krb5.so use_first_pass realm=NEW.DOMAIN.NET password sufficient pa

我这里有一台CentOS 6机器，希望为来自另一个受信任的林的用户提供SSH访问权限。我有一个临时解决办法，就是：

将

/etc/pam.d/vncserver

中的内容更改为：

auth include password-auth

添加这两行

/etc/pam.d/password auth

：

auth        sufficient    pam_krb5.so use_first_pass realm=NEW.DOMAIN.NET
password    sufficient    pam_krb5.so use_authtok realm=NEW.DOMAIN.NET

看起来是这样的：

#%PAM-1.0
# This file is auto-generated.
# User changes will be destroyed the next time authconfig is run.
auth        required      pam_env.so
auth        sufficient    pam_unix.so nullok try_first_pass
auth        requisite     pam_succeed_if.so uid >= 500 quiet
auth        sufficient    pam_krb5.so use_first_pass
auth        sufficient    pam_krb5.so use_first_pass realm=NEW.DOMAIN.NET
auth        required      pam_deny.so

account     required      pam_unix.so broken_shadow
account     sufficient    pam_localuser.so
account     sufficient    pam_succeed_if.so uid < 500 quiet
account     [default=bad success=ok user_unknown=ignore] pam_krb5.so
account     required      pam_permit.so

password    requisite     pam_cracklib.so try_first_pass retry=3 type=
password    sufficient    pam_unix.so sha512 shadow nis nullok try_first_pass use_authtok
password    sufficient    pam_krb5.so use_authtok
password    sufficient    pam_krb5.so use_authtok realm=NEW.DOMAIN.NET
password    required      pam_deny.so

session     optional      pam_keyinit.so revoke
session     required      pam_limits.so
session     [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid
session     required      pam_unix.so
session     optional      pam_krb5.so

#%PAM-1.0
#此文件是自动生成的。
#用户更改将在下次运行authconfig时销毁。
所需身份验证pam_env.so
验证足够的pam\u unix.so nullok尝试第一次通过
如果.so uid>=500安静，则验证必需pam\u成功
验证足够的pam_krb5。因此使用第一个通行证
验证足够的pam\u krb5.so使用\u first\u pass realm=NEW.DOMAIN.NET
需要验证pam_deny.so
所需帐户pam_unix.so已损坏\u shadow
帐户足够pam_localuser.so
如果.so uid<500安静，则帐户足够pam\u success\u
帐户[默认值=错误成功=确定用户\u未知=忽略]pam\u krb5.so
需要pam_许可证的账户。so
密码必需pam_cracklib.so try_first_pass retry=3类型=
密码足够pam_unix.so sha512 shadow nis nullok尝试第一次通过使用authtok
密码足够pam_krb5.so使用_authtok
密码充足的pam_krb5.so使用_authtok realm=NEW.DOMAIN.NET
需要密码pam_deny.so
会话可选pam_keyinit.so revoke
需要会话pam_limits.so
会话[success=1 default=ignore]pam\u success\u if.so crond quiet use\u uid中的服务
需要会话pam_unix.so
会话可选pam_krb5.so

将新域名添加到

/etc/krb5.conf

重新启动SSH守护程序

-->暂时还可以。但是：在每次

系统配置身份验证之后（authconfig-update#all
），来自#2的更改被覆盖（撤消），然后SSH连接被拒绝
我的问题是:

在哪里添加额外的新域以使其永久工作？

简单的替换将不起作用，因为旧的域/林仍在使用中
只需将新域添加到/etc/krb5。因此
不会起作用，因为它只会检查默认域，而不是new.domain.NET

这个问题问得不错，但在这里它是离题的。你应该把它移到。