如何在 Linux(Debian)上使用 Kerberos 启用 AD 身份验证?

如何在 Linux(Debian)上使用 Kerberos 启用 AD 身份验证?

我希望本地用户能够使用他们的 Windows 域 (AD) 密码登录到 Linux 服务器。(所有本地帐户在 AD 中都有匹配的用户 ID)。

我已经安装了libpam-krb5,并且的主要设置/etc/krb5.conf似乎没问题:

default_realm = FOO.COMPANY.COM
kdc = controller.foo.company.com

这些设置在另一个 Linux 机器(Ubuntu)上运行良好;AD 服务器中的一切都应该正常。

因为我不知道/记得,所以我的问题是,当用户尝试登录时,还需要在 Linux 服务器上进行哪些调整才能使 AD 密码正常工作

服务器正在运行 Debian 5.0.3。

答案1

好的,在同事的帮助下,它开始工作了。唯一需要调整的附加配置文件是/etc/pam.d/common-auth

原始配置是:

auth    required    pam_unix.so nullok_secure

我们将其改为:

auth    [success=2 default=ignore]      pam_krb5.so minimum_uid=1000
auth    [success=1 default=ignore]      pam_unix.so nullok_secure try_first_pass
auth    requisite                       pam_deny.so
auth    required                        pam_permit.so

登录服务器时,AD 密码现在可以正常工作。

答案2

相关内容