使用“pam_krb5.so try_first_pass”时,klist 不返回任何票证

使用“pam_krb5.so try_first_pass”时,klist 不返回任何票证

我们有

auth        optional      pam_krb5.so try_first_pass

/etc/pam.d/password-auth-ac 

/etc/pam.d/system-auth-ac

但是当我登录成功后执行 klist 时,我得到了

klist: No credentials cache found (filename: /tmp/nnnnn)

这可能是什么原因呢?

身份验证和会话堆栈:

auth        required      pam_env.so
auth        sufficient    pam_fprintd.so
auth        required      pam_tally2.so deny=12 unlock_time=3600
auth        sufficient    pam_unix.so nullok try_first_pass
auth        requisite     pam_succeed_if.so uid >= 500 quiet
auth        optional      pam_krb5.so try_first_pass
auth        sufficient    pam_sss.so forward_pass
auth        required      pam_deny.so



session     optional      pam_keyinit.so revoke
session     required      pam_limits.so
session     [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid
session     required      pam_unix.so
session     optional      pam_sss.so

答案1

发现会话堆栈中缺少 pam_krb5:

session     optional      pam_keyinit.so revoke
session     required      pam_limits.so
session     [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid
session     required      pam_unix.so
session     optional      pam_sss.so
session     required      pam_krb5.so

添加会话需要 pam_krb5.so解决了这个问题。

相关内容