我希望在我的 Linux OEL5x 服务器中使用 /etc/passwd 方法为用户启用“兼容”模式。但我不太清楚“兼容”在 Linux 中是如何工作的。我进行了以下配置 - 在 /etc/nsswitch.conf 中将 passwd 设置为 compat,并在 /etc/passwd 中添加用户详细信息。我可以通过对 system-auth 进行一些更改来解决登录问题,但 ssh 等协议仍然未启用。有什么方法可以解决这个问题吗?
答案1
我确信您在这里找错了方向。 compat更多的是关于与 NIS 的兼容性,而不是与 Kerberos 的兼容性。(您可能没有使用 NIS。)
关于您的实际问题的两条评论:
问题的根源可能是您没有设置 Kerberos 授权(而不是身份验证)。Kerberos 必须知道允许给定主体登录到给定帐户。有两种主要方法可以做到这一点:一种是
.k5login在每个用户的主目录中创建一个文件,列出允许登录该帐户的用户,另一种是设置默认领域,在这种情况下,默认策略是允许本地部分与本地帐户名匹配且领域与默认领域匹配的主体登录到该帐户。还有更复杂的选项,涉及在文件中设置 aname 到 lname 的映射/etc/krb5.conf。现在你真的不想使用 krsh。它没有得到维护,而且在协议中没有很好的安全记录。(Heimdal 和 MIT 实现也不兼容。)相反,我鼓励你改用 ssh,它现在支持 GSS-API 身份验证,是一个更好的选择。