kinitDebian Buster で Kerberos 認証動作をテストしました。今私はそれを組み合わせようとしていますKerberosを使用してログインするためのPAMインストールlibpam-krb5して設定しますpam-auth-update。ただし、文書には次のよう/usr/share/doc/libpam-krb5/README.Debian.gzに記載されています。
この構成では、ユーザーは/ etc / shadowにリストされている必要があります。それ以外の場合、pam_unix アカウントモジュールは失敗します。通常、Kerberos認証のみを使用する必要があるアカウントは、adduser --disabled-passwordを使用して作成する必要があります。アカウントが/ etc / shadowにまったく表示されないようにするには(たとえば、nsswitch構成ファイル以外のソースを使用している場合)、pam_unixを実行しないために必要な代わりに、pam_krb5アカウントモジュールを十分にマークすることができます。つまり、ローカルでアカウントを無効にすることはできません。
/etc/shadowKerberosデータベースに加えて、アカウントをローカルに再リストしたくありません。それは私にとって重複する仕事だからです。デフォルト設定でログインしようとしましたが、次のエラーが発生しました。
Debian GNU/Linux 10 deb10-base ttyS0
deb10-base login: ingo
Password:
Authentication failure
journalctl私がこれを見つけた後:
Oct 06 15:33:08 deb10-base login[374]: pam_krb5(login:auth): user ingo authenticated as [email protected]
Oct 06 15:33:08 deb10-base login[374]: pam_unix(login:account): could not identify user (from getpwnam(ingo))
Oct 06 15:33:08 deb10-base login[374]: Authentication failure
これがすぐ上に引用された文書から期待するものです。しかし、コメントにPAM設定ファイルを変更する場所と内容はわかりません。現在、設定ファイルがドキュメントと一致しません。
PAM設定ファイルのどのエントリを変更する必要がありますか?必須到着適切?たぶん別のことがありますか?可能であれば、pam-auth-update 構成部分を維持したいと思います。
修正する:pam-auth-updateオプションを起動して確認したことを忘れました。
[*] Kerberos authentication
[*] Unix authentication
[*] Create home directory on login
'を選択解除しようとしました。Unix認証「しかし、これによりログインが利用できなくなります。rootとしてログインしなくても再ログインできません。スナップショットから復元する必要があります。
ベストアンサー1
これには2つの不完全なオプションがあります。
- 結果のブロックを修正し
/etc/pam.d/common-account、pam-auth-updateもはや触れないことを受け入れます。 dpkg-divert更新の編集/usr/share/pam-configs/krb5、再生成、/etc/pam.d/common-accountおよび承諾libpam-krb5/usr/share/pam-configs/krb5もう影響しません。
最初の場合はOKrequiredに変更してください。sufficient
account required pam_krb5.so minimum_uid=1000
2番目のケースでは、Account:段落で同じことを行います。これにより、/etc/pam.d/common-account再生後に上記のような変更が発生します。