在我的工作中,我们使用 Debian 和新的一些 CentOS 7 机器的组合。我们有一组 kerberos+LDAP 服务器来向其他机器提供用户身份验证的方法。到目前为止一切都很好。
我的任务是创建一个新的 CentOS7 用户网络服务器,该服务器应该进行 Kerberized 以允许用户使用密码登录。每个网页都应该有自己的名称,并且特定的一组人应该能够登录来管理它。
但它适用于普通 BFU,因此没有 krb 门票,只有密码!
在 Debian 中仍然不是问题。 Kerberize 服务器并将包含用户主体的 .k5login 文件放入网页的主目录中。然后将 a 添加search_k5login
到 中的 pam_krb5 行上/etc/pam.d/common-auth
。所以我会有类似的东西:
/etc/pam.d/common-auth:
auth [success=2 default=ignore] pam_krb5.so minimum_uid=1000 search_k5login
/srv/www/webpage/.k5login:
[email protected]
[email protected]
这样,Debian 就会获取用户提供的密码,并在这些 krb 主体上进行尝试,这样用户就可以从愚蠢的 Windows putty/ftp/等登录。甚至不知道像 krb 这样的东西存在。
但现在我需要在 CentOS7 上执行此操作,但无法使类似的功能正常工作。 (使用 krb5 票证进行日志记录没有问题)并且似乎答案写在我无法通过搜索来获取的地方。
我尝试过:
- 只需向 pam 添加相同的选项
- 研究 krb5.conf 和 pam_krb5 手册
- 浪费几个小时来搜索 HowTos/(视频)教程等,但未成功。
有人知道怎么做这个吗 ?
长话短说
我需要使用以下命令获取服务器:
- CentOS7
- krb5 客户端
- pam_krb5
要接受使用密码登录并尝试文件中 krb5 主体的密码.k5login
,但找不到如何执行此操作的方法。