Im Lieferumfang von SUSE Linux Enterprise® ist das PAM-Modul pam_krb5
enthalten, das die Kerberos-Anmeldung und das Kennwort-Update unterstützt. Dieses Modul kann von Anwendungen verwendet werden, wie der Konsolenanmeldung, su und grafischen Anmeldeanwendungen, wie KDM, bei der der Benutzer ein Passwort eingeben muss und verlangt, dass die authentifizierende Anwendung ein anfängliches Kerberos-Ticket für ihn abholt.
Das pam_unix2
-Modul unterstützt ebenfalls die Kerberos-Authentifizierung und die Passwort-Aktualisierung. Zum Aktivieren der Kerberos-Unterstützung von pam_unix2
, müssen Sie der Datei /etc/security/pam_unix2.conf
folgende Zeilen hinzufügen:
auth: use_krb5 nullok account: use_krb5 password: use_krb5 nullok session: none
Danach verwenden alle Programme, die auf die Einträge in dieser Datei zugreifen, Kerberos als Benutzerauthentifizierung. Bei einem Benutzer, der über keinen Kerberos-Prinzipal verfügt, verwendet pam_unix2
wieder die normale Passwort-Authentifizierung. Alle Benutzer mit einem Prinzipal können nun ihre Kerberos-Passwörter transparent ändern, indem sie den Befehl passwd verwenden.
Wenn Sie die Verwendung der Datei pam_krb5
optimieren möchten, bearbeiten Sie die Datei /etc/krb5.conf
und fügen Sie pam
die Standardanwendungen hinzu. Weitere Informationen finden Sie auf der man-Seite man5 pam_krb5
.
Das pam_krb5
-Modul ist nicht für Netzwerkdienste geeignet, die Kerberos-Tickets als Teil der Benutzerauthentifizierung verwenden. Das ist ein völlig anderes Thema und wird im Folgenden behandelt.