我用来在登录 KDE 时ksshaskpass
添加受密码保护的密钥,kerberos 是否有类似的东西?ssh-agent
答案1
我会考虑使用帕姆-krb5。
在 Debian 和 Ubuntu 上,它应该是apt-get install libpam-krb5
.
PAM 配置类似于:
auth required pam_unix.so
auth optional pam_krb5.so try_first_pass
或者
auth required pam_unix.so
auth optional pam_krb5.so use_first_pass
在/etc/pam.d/common-auth
。
它采用您用于本地身份验证的密码(例如 中的密码)/etc/shadow
,然后尝试使用与您的 Kerberos 密码相同的密码。
如果您的 Kerberos 密码与系统密码相同,则无需再次输入。
如果您的 Kerberos 密码与系统密码不同,会发生什么情况取决于您是否使用try_first_pass
或use_first_pass
:
try_first_pass
会询问您的 Kerberos 密码use_first_pass
kinit
不会问你,但你稍后必须自己跑
请注意,这可能也会使 ksshaskpass 变得多余,因为您还可以拥有:
auth required pam_unix.so
auth optional pam_ssh.so try_first_pass
auth optional pam_krb5.so try_first_pass
在 Debian 和 Ubuntu 上,需要安装libpam-ssh。
答案2
通常,Kerberos 将与 PAM pam_krb5.so 集成。它将尝试根据您提供的用户名和密码获取 Kerberos 票证。它还可以使用它来验证是否允许您登录,但如果您只想要票证,则可以将其设置为忽略。它需要添加为身份验证模块和会话模块,如果您打算使 Kerberos 密码与桌面保持同步,则可能还需要添加密码。如果您计划使用 Kerberos 来验证用户的登录,您还应该在 /etc/krb5.keytab 中设置 keytab 文件,其中包含 host/ 的密钥[电子邮件受保护]根据您的环境替换主机名和 example.com。