我有一个中央身份验证服务器,其中设置并填充了 OpenLDAP,并且也填充了 Kerberos 5。
在 Ubuntu LTS 机器上,我设置了 nslcd 和 kerberos 客户端。这样,发出
id gergely.polonkai
告诉我我已gergely.polonkai(10000)加入群组engineering(10000)。此外,发出
kinit gergely.polonkai
要求我输入密码并创建我的钥匙串(klist 显示我的 TGT)。
因此,我认为每一项都工作正常。但是当我将 kerberos 内容添加到 pam 时:
auth sufficient pam_krb5.so
account sufficient pam_krb5.so
session optional pam_krb5.so
日志显示 gergely.polonkai 身份验证成功,然后显示 gergely.polonkai 对于底层身份验证模块来说是未知的。
编辑:
getent passwd gergely.polonkai
得到正确的数据。然而
getent shadow gergely.polonkai
什么也没告诉我(以 root 身份尝试)。
编辑:
为用户添加 shadowAccount objectClass 解决了影子问题。但是,原始错误仍然存在。
我是否遗漏了什么?
答案1
似乎我遗漏了一些基本的东西。在手动弄乱了整个 PAM 和 NSS 配置后,我重新安装了机器(在我弄乱之前,它是全新安装的)。在安装了之前安装的所有必要软件包后,手动运行一个神奇的命令就成功了:
pam-auth-update
明天我一回到那台机器,我就会发布生成的 pam.d 文件。