我在托管内部应用程序的 Debian 计算机上安装了 Kerberos,以便能够使用它根据我们的 AD 对用户进行身份验证。
这有效。
然而,Kerberos 似乎也负责管理该机器上的 Linux 用户帐户,并在管理员尝试更改用户密码时告诉管理员输入“当前 Kerberos 密码”。
因为我不需要也不希望 Linux 用户受 Kerberos 管理,有没有办法通过这种方式配置 Kerberos,它仅在 Apache 要求时才起作用?
我意识到有一些设置,/etc/pam.d/但我不确定会保存哪些更改。
答案1
您的 passwd pam 配置通常/etc/pam.d/chpasswd会直接调用 pam_krb5.so 或者作为 include 语句的一部分调用它。
HTTP SSO 的 Kerberos(GSSAPI/SPNEGO)在 pam 之外处理,因此最便捷的解决方案是将其从 pam 配置中完全删除(希望使用与放入它类似的方法)。