Initialisation automatique du ticket Kerberos à la connexion

10

J'utilise ksshaskpasspour ajouter mes clés protégées par mot de passe ssh-agentlors de la connexion à KDE, y a-t-il quelque chose de similaire pour Kerberos?

Šimon Tóth
la source

Réponses:

12

Je chercherais à utiliser pam-krb5 .

Sur Debian et Ubuntu, ça devrait l'être apt-get install libpam-krb5.

La configuration PAM ressemblerait à quelque chose comme:

auth required pam_unix.so
auth optional pam_krb5.so try_first_pass

ou

auth required pam_unix.so
auth optional pam_krb5.so use_first_pass   

dans /etc/pam.d/common-auth.

Il prend le mot de passe que vous avez utilisé pour vous authentifier localement, par exemple le mot de passe /etc/shadow, puis essaie d'utiliser le même que votre mot de passe Kerberos.

Si votre mot de passe Kerberos est le même que votre mot de passe système, vous n'avez pas besoin de le saisir à nouveau.

Si votre mot de passe Kerberos est différent de votre mot de passe système, ce qui se passe dépend de votre utilisation try_first_passou use_first_pass:

  • try_first_pass vous demandera votre mot de passe Kerberos
  • use_first_passne vous demandera pas, mais vous devrez vous exécuter kinitplus tard

Notez que cela rend également ksshaskpass redondant, car vous pouvez également avoir:

auth required pam_unix.so
auth optional pam_ssh.so try_first_pass
auth optional pam_krb5.so try_first_pass

Sur Debian et Ubuntu, cela nécessite l'installation de libpam-ssh .

Mikel
la source
Oui, je le sais, mais j'aimerais une solution qui fonctionne avec différents mots de passe.
Šimon Tóth, le
@Let_Me_Be: Pouvez-vous élaborer? try_first_passou aucune option ne devrait fonctionner dans ce cas.
Mikel
1
Comment cela fonctionnerait-il si mon nom d'utilisateur Kerberos était différent du nom d'utilisateur local? Par exemple gertcontre gertvdijk.
gertvdijk
Ce serait formidable d'avoir kinit en utilisant un trousseau de clés, quelqu'un sait-il quelque chose comme ça?
Dave
1

Normalement, Kerberos serait intégré à PAM pam_krb5.so. Il tentera d'acquérir un ticket Kerberos en fonction de votre nom d'utilisateur et du mot de passe que vous fournissez. Il peut également l'utiliser pour vérifier si vous êtes autorisé à vous connecter, mais cela peut être configuré pour ignorer si vous voulez juste le ticket. Il doit être ajouté en tant que module d'authentification et de session, probablement aussi un mot de passe si vous prévoyez de garder votre mot de passe Kerberos synchronisé avec votre bureau. Si vous prévoyez d'utiliser Kerberos pour vérifier la connexion d'un utilisateur, vous devez également configurer votre fichier de clés dans /etc/krb5.keytab avec une clé pour host/[email protected] remplacer hostname et example.com selon les besoins de votre environnement.

pingouin359
la source