Kerberos-PAM 身份验证失败:pam 或预身份验证

Kerberos-PAM 身份验证失败:pam 或预身份验证

kinit -p 'username' 有效 —— Kerberos 领域的设置没有问题。

但是,我无法使 GUI 登录正常工作。

客户端身份验证日志:

pam_krb5(gdm3:auth): user <username> authenticated as <user>@<realm>
gkr-pam: error looking up user information

服务器 krb5kdc.log:

Oct 01 02:27:23 debian krb5kdc[6996](info): AS_REQ (4 etypes {18 17 16 23}) 10.0.0.11:
NEEDED_PREAUTH: <user>@<realm> for krbtgt/<realm>@<realm>, Additional
pre-authentication required


Oct 01 02:27:23 debian krb5kdc[6996](info): AS_REQ (4 etypes {18 17 16 23}) 10.0.0.11: 
ISSUE: authtime 1412144843, etypes {rep=18 tkt=18 ses=18}, <user>@<realm> for 
krbtgt/<realm>@<realm>

换句话说,Kerberos 服务器毫无问题地向客户端发出了票证,但从 GUI 登录不起作用。任何想法都非常感谢!

客户端和服务器都运行 Debian 7.6.0 x86_64。

答案1

要查看的关键行是:

gkr-pam: error looking up user information

身份验证成功并不一定意味着 PAM 会授予访问权限。用户必须被操作系统识别,还必须通过记帐检查(accountPAM 堆栈中的模块)。

上述错误表明该用户在系统中不存在(从控制台来看,两者getent passwd <username>getent shadow <username>有效吗?),或者您配置的某个 PAM 模块无法从远程源获取有关该用户的信息。

集中调查这个方向,你就能够识别并纠正这个问题。

相关内容