kinit -p 'username' 有效 —— Kerberos 领域的设置没有问题。
但是,我无法使 GUI 登录正常工作。
客户端身份验证日志:
pam_krb5(gdm3:auth): user <username> authenticated as <user>@<realm>
gkr-pam: error looking up user information
服务器 krb5kdc.log:
Oct 01 02:27:23 debian krb5kdc[6996](info): AS_REQ (4 etypes {18 17 16 23}) 10.0.0.11:
NEEDED_PREAUTH: <user>@<realm> for krbtgt/<realm>@<realm>, Additional
pre-authentication required
Oct 01 02:27:23 debian krb5kdc[6996](info): AS_REQ (4 etypes {18 17 16 23}) 10.0.0.11:
ISSUE: authtime 1412144843, etypes {rep=18 tkt=18 ses=18}, <user>@<realm> for
krbtgt/<realm>@<realm>
换句话说,Kerberos 服务器毫无问题地向客户端发出了票证,但从 GUI 登录不起作用。任何想法都非常感谢!
客户端和服务器都运行 Debian 7.6.0 x86_64。
答案1
要查看的关键行是:
gkr-pam: error looking up user information
身份验证成功并不一定意味着 PAM 会授予访问权限。用户必须被操作系统识别,还必须通过记帐检查(accountPAM 堆栈中的模块)。
上述错误表明该用户在系统中不存在(从控制台来看,两者getent passwd <username>都getent shadow <username>有效吗?),或者您配置的某个 PAM 模块无法从远程源获取有关该用户的信息。
集中调查这个方向,你就能够识别并纠正这个问题。