SSH、Kerberos、AD:how/where-to-config/etc/pam.d/password-auth?
我这里有一台CentOS 6机器,希望为来自另一个受信任的林的用户提供SSH访问权限。我有一个临时解决办法,就是:SSH、Kerberos、AD:how/where-to-config/etc/pam.d/password-auth?,ssh,active-directory,centos,kerberos,pam,Ssh,Active Directory,Centos,Kerberos,Pam,我这里有一台CentOS 6机器,希望为来自另一个受信任的林的用户提供SSH访问权限。我有一个临时解决办法,就是: 将/etc/pam.d/vncserver中的内容更改为: auth include password-auth 添加这两行/etc/pam.d/password auth: auth sufficient pam_krb5.so use_first_pass realm=NEW.DOMAIN.NET password sufficient pa
/etc/pam.d/vncserver
中的内容更改为:
auth include password-auth
/etc/pam.d/password auth
:
auth sufficient pam_krb5.so use_first_pass realm=NEW.DOMAIN.NET
password sufficient pam_krb5.so use_authtok realm=NEW.DOMAIN.NET
看起来是这样的:
#%PAM-1.0
# This file is auto-generated.
# User changes will be destroyed the next time authconfig is run.
auth required pam_env.so
auth sufficient pam_unix.so nullok try_first_pass
auth requisite pam_succeed_if.so uid >= 500 quiet
auth sufficient pam_krb5.so use_first_pass
auth sufficient pam_krb5.so use_first_pass realm=NEW.DOMAIN.NET
auth required pam_deny.so
account required pam_unix.so broken_shadow
account sufficient pam_localuser.so
account sufficient pam_succeed_if.so uid < 500 quiet
account [default=bad success=ok user_unknown=ignore] pam_krb5.so
account required pam_permit.so
password requisite pam_cracklib.so try_first_pass retry=3 type=
password sufficient pam_unix.so sha512 shadow nis nullok try_first_pass use_authtok
password sufficient pam_krb5.so use_authtok
password sufficient pam_krb5.so use_authtok realm=NEW.DOMAIN.NET
password required pam_deny.so
session optional pam_keyinit.so revoke
session required pam_limits.so
session [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid
session required pam_unix.so
session optional pam_krb5.so
#%PAM-1.0
#此文件是自动生成的。
#用户更改将在下次运行authconfig时销毁。
所需身份验证pam_env.so
验证足够的pam\u unix.so nullok尝试第一次通过
如果.so uid>=500安静,则验证必需pam\u成功
验证足够的pam_krb5。因此使用第一个通行证
验证足够的pam\u krb5.so使用\u first\u pass realm=NEW.DOMAIN.NET
需要验证pam_deny.so
所需帐户pam_unix.so已损坏\u shadow
帐户足够pam_localuser.so
如果.so uid<500安静,则帐户足够pam\u success\u
帐户[默认值=错误成功=确定用户\u未知=忽略]pam\u krb5.so
需要pam_许可证的账户。so
密码必需pam_cracklib.so try_first_pass retry=3类型=
密码足够pam_unix.so sha512 shadow nis nullok尝试第一次通过使用authtok
密码足够pam_krb5.so使用_authtok
密码充足的pam_krb5.so使用_authtok realm=NEW.DOMAIN.NET
需要密码pam_deny.so
会话可选pam_keyinit.so revoke
需要会话pam_limits.so
会话[success=1 default=ignore]pam\u success\u if.so crond quiet use\u uid中的服务
需要会话pam_unix.so
会话可选pam_krb5.so
/etc/krb5.conf
系统配置身份验证之后(authconfig-update#all
),来自#2的更改被覆盖(撤消),然后SSH连接被拒绝
我的问题是:
- 在哪里添加额外的新域以使其永久工作?
- 简单的替换将不起作用,因为旧的域/林仍在使用中
- 只需将新域添加到
/etc/krb5。因此
不会起作用,因为它只会检查默认域,而不是new.domain.NET
这个问题问得不错,但在这里它是离题的。你应该把它移到。