Aktivieren der PAM-Unterstützung für Kerberos

Im Lieferumfang von SUSE Linux Enterprise® ist das PAM-Modul pam_krb5 enthalten, das die Kerberos-Anmeldung und das Kennwort-Update unterstützt. Dieses Modul kann von Anwendungen verwendet werden, wie der Konsolenanmeldung, su und grafischen Anmeldeanwendungen, wie KDM, bei der der Benutzer ein Passwort eingeben muss und verlangt, dass die authentifizierende Anwendung ein anfängliches Kerberos-Ticket für ihn abholt.

Das pam_unix2-Modul unterstützt ebenfalls die Kerberos-Authentifizierung und die Passwort-Aktualisierung. Zum Aktivieren der Kerberos-Unterstützung von pam_unix2, müssen Sie der Datei /etc/security/pam_unix2.conf folgende Zeilen hinzufügen:

auth:       use_krb5 nullok
account:    use_krb5
password:   use_krb5 nullok
session:    none

Danach verwenden alle Programme, die auf die Einträge in dieser Datei zugreifen, Kerberos als Benutzerauthentifizierung. Bei einem Benutzer, der über keinen Kerberos-Prinzipal verfügt, verwendet pam_unix2 wieder die normale Passwort-Authentifizierung. Alle Benutzer mit einem Prinzipal können nun ihre Kerberos-Passwörter transparent ändern, indem sie den Befehl passwd verwenden.

Wenn Sie die Verwendung der Datei pam_krb5 optimieren möchten, bearbeiten Sie die Datei /etc/krb5.conf und fügen Sie pam die Standardanwendungen hinzu. Weitere Informationen finden Sie auf der man-Seite man5 pam_krb5.

Das pam_krb5-Modul ist nicht für Netzwerkdienste geeignet, die Kerberos-Tickets als Teil der Benutzerauthentifizierung verwenden. Das ist ein völlig anderes Thema und wird im Folgenden behandelt.