我认为这个问题有一个简单的解决方案,但我更愿意在弄乱我们的内部网服务器之前先问一下。在一次支持会话中,我和我的同事意识到我们可以通过 SSH 使用 Kerberos 凭据登录,但不能通过控制台登录(在本例中是 ESXi 的 VI Client,但这并不重要)。那么,我是否只需修改登录PAM 配置?
当前状态:
# PAM configuration for the "sshd" service
#
# auth
#auth sufficient pam_opie.so no_warn no_fake_prompts
#auth requisite pam_opieaccess.so no_warn allow_local
#auth sufficient pam_ssh.so no_warn try_first_pass
auth sufficient pam_krb5.so try_first_pass
auth required pam_unix.so try_first_pass
# account
#account required pam_nologin.so
#account required pam_login_access.so
account sufficient pam_krb5.so try_first_pass
account required pam_unix.so
# password
#password sufficient pam_krb5.so no_warn try_first_pass
#password required pam_unix.so no_warn try_first_pass
password required pam_permit.so
# session
#session optional pam_ssh.so
#session required pam_permit.so
session required pam_permit.so
#
#
# PAM configuration for the "login" service
#
# auth
auth sufficient pam_self.so no_warn
auth include system
# account
account requisite pam_securetty.so
account required pam_nologin.so
account include system
# session
session include system
# password
password include system
欢迎提供任何提示或建议。
答案1
你的直觉是正确的 - 解决方案是“让你的login服务的 PAM 配置看起来像你的SSH服务的 PAM 配置”
请注意,它们并不完全相同——例如,请确保您仍可以使用非 Kerberos 登录作为 root 进入,以防您需要在紧急情况下跳转到控制台。PAM 非常适合这种后备配置。
有关更多详细信息/帮助,请参阅相关 PAM 模块的手册页,以及man pam.conf有关 PAM 配置文件格式的详细信息。